V-ISA 信 誉 检 测 机 制, 高 精 度 防 护 新 型 DDoS 攻 击
随 着 云 计 算 的 快 速 崛 起, 针 对 互 联 网 主 流 业 务 尤 其 是 WEB 和 DNS 的 DDoS 攻 击 不 断 涌 现 并 快 速 变 种, 针 对 应 用 层 的 DDoS 攻 击 比 例 逐 年 递 增 恶 意 竞 争 已 成 为 DDoS 攻 击 的 主 要 动 机, 根 据 华 为 云 安 全 中 心 统 计 数 据 显 示, 越 是 暴 利 行 业 的 在 线 业 务 系 统, 遭 攻 击 频 率 越 高, 攻 击 也 越 持 久 今 天, 各 种 有 效 的 躲 避 技 术 被 僵 尸 网 络 广 泛 应 用, 如 : 可 快 速 更 替 C&C 服 务 器 IP 地 址 的 域 名 生 成 算 法 (DGA) 及 Fast-flux 技 术, 使 得 僵 尸 网 络 存 活 周 期 越 来 越 长 要 应 对 由 僵 尸 网 络 发 起 的 网 络 攻 击 ( 如 :DDoS 攻 击 ), 通 过 关 闭 C&C 服 务 器 这 一 源 头 防 御 技 术 已 不 再 有 效, 传 统 检 测 和 防 御 技 术 在 应 对 新 型 DDoS 攻 击 时 显 得 力 不 从 心 安 全 人 员 急 需 新 型 防 御 机 制, 来 应 对 新 IT 环 境 下 的 新 型 DDoS 攻 击, 以 确 保 高 检 出 率 和 低 误 判 率 一 DDoS 攻 击 发 展 趋 势 1 应 用 层 的 小 流 量 慢 速 DDoS 越 来 越 普 遍 过 去 几 年,DDoS 攻 击 以 网 络 层 攻 击 为 主, 对 运 营 商 的 网 络 和 基 础 架 构 威 胁 最 大 ; 而 当 前 的 DDoS 攻 击 越 来 越 多 的 是 针 对 互 联 网 具 体 应 用 和 业 务, 如 : 针 对 企 业 门 户 应 用 在 线 购 物 在 线 视 频 在 线 游 戏 DNS email 等 华 为 最 新 安 全 报 告 显 示, 针 对 WEB 应 用 的 DDoS 攻 击 已 占 到 攻 击 总 量 的 87.11% 以 上 为 了 以 较 低 的 攻 击 成 本 实 现 较 明 显 的 攻 击 效 果, 黑 客 从 传 统 的 高 带 宽 / 大 流 量 攻 击 演 化 为 隐 蔽 性 更 强 的 针 对 应 用 层 的 小 流 量 慢 速 攻 击 小 流 量 慢 速 应 用 层 攻 击 触 及 传 统 的 被 广 泛 使 用 的 flow 流 的 检 测 技 术 的 盲 点, 由 此 得 以 大 行 其 道 要 想 提 升 应 用 层 DDoS 攻 击 的 检 出 率, 必 须 采 用 逐 包 检 测 技 术 2 DDoS 攻 击 方 式 变 得 日 益 复 杂 越 来 越 仿 真 的 CC 攻 击 : 黑 客 发 起 此 类 攻 击 一 般 都 经 过 事 先 踩 点, 对 被 攻 击 的 WEB 服 务 器 进 行 详 细 测 试 和 试 探, 找 出 该 系 统 的 薄 弱 点 ; 然 后 针 对 脆 弱 点, 发 起 针 对 性 的 攻 击, 一 般 以 查 询 不 存 在 资 源 引 起 大 量 消 耗 服 务 器 计 算 资 源 为 主 ; 最 后 隐 藏 攻 击 源 并 达 到 攻 击 效 果, 通 过 大 量 受 控 制 的 傀 儡 机, 经 由 免 费 代 理 服 务 器 向 WEB 服 务 器 发 起 正 常 请 求 此 类 攻 击 最 显 著 的 特 征 是 访 问 速 率 不 会 很 高, 但 大 量 近 似 合 法 的 访 问 会 很 快 导 致 服 务 器 计 算 资 源 被 耗 尽, 无 法 为 正 常 用 户 提 供 访 问 传 统 的 源 探 测 代 理 方 式 无 法 有 效 进 行 防 护, 需 要 建 立 访 问 源 信 誉 评 价 体 系, 方 可 高 效 率 精 准 防 护 僵 尸 主 机 发 起 的 超 仿 真 CC 攻 击 1 V-ISA 信 誉 检 测 机 制, 高 精 度 防 护 新 型 DDoS 攻 击
以 小 博 大 的 针 对 DNS 的 cache miss 攻 击 : 针 对 DNS 授 权 服 务 器 的 DDoS 攻 击 频 率 仅 次 于 针 对 WEB 应 用 的 DDoS 攻 击, 此 类 攻 击 的 原 理 是 以 发 送 大 量 不 存 在 的 域 名 的 Query 报 文 构 成 DNS 服 务 器 查 询 cache 失 败, 形 成 cache miss 攻 击 DNS 类 的 攻 击 是 黑 客 从 攻 击 在 线 业 务 服 务 器 本 身 转 战 为 攻 击 在 线 业 务 所 使 用 的 权 威 域 名 解 析 服 务 器 此 攻 击 不 仅 严 重 影 响 了 被 攻 击 在 线 业 务 的 可 用 性, 而 且 使 其 所 承 载 的 大 量 其 他 互 联 网 业 务 的 域 名 解 析 都 间 接 受 到 影 响, 攻 击 影 响 面 最 广, 严 重 危 及 互 联 网 基 础 架 构 运 行 安 全 2009 年 暴 风 影 音 事 件 就 是 此 类 攻 击 的 典 型 体 现 针 对 DNS 服 务 器 进 行 主 动 + 被 动 的 防 护 策 略, 从 源 信 誉 会 话 信 誉 以 及 行 为 分 析 等 多 维 度 进 行 检 测 和 分 析, 可 有 效 防 御 此 类 攻 击 二 传 统 DDoS 攻 击 防 御 方 式 不 足 以 应 对 新 型 DDoS 攻 击 1 客 户 体 验 与 终 端 误 判, 是 CC 攻 击 的 防 御 难 点 对 电 子 商 务 网 站 经 常 出 现 的 CC 攻 击, 主 要 防 御 难 点 在 于 客 户 体 验 与 终 端 误 判 问 题 目 前, 业 界 通 用 的 防 御 CC 攻 击 的 技 术 是 重 定 向 验 证 码 技 术, 这 种 技 术 确 实 可 以 有 效 防 御 攻 击, 但 同 时 弹 出 的 验 证 页 面 不 携 带 任 何 网 站 相 关 信 息, 影 响 用 户 体 验 更 严 重 的 是, 随 着 近 两 年 智 能 手 机 的 普 及, 很 多 用 户 用 手 机 访 问 电 子 商 务 系 统, 而 智 能 手 机 HTTP 应 用 协 议 栈 实 现 不 完 整, 无 法 支 持 重 定 向, 防 御 会 导 致 正 常 移 动 终 端 用 户 访 问 中 断 正 是 因 为 了 解 防 御 技 术 现 有 缺 陷, 攻 击 者 甚 至 假 冒 移 动 智 能 终 端 发 起 攻 击 如 果 DDoS 攻 击 是 针 对 移 动 WEB 应 用 发 起, 防 御 难 度 将 进 一 步 提 升 要 做 到 精 确 识 别, 提 升 用 户 体 验, 必 须 从 智 能 终 端 识 别 应 用 层 源 IP 信 誉 和 会 话 分 析 等 多 维 度 上 进 行 精 确 检 测 和 识 别 2 非 法 源 识 别 是 DNS cache miss 攻 击 防 御 难 点 DNS 是 基 于 UDP 协 议, 它 不 像 TCP 一 样 具 有 连 接 状 态, 这 给 防 御 技 术 带 来 了 巨 大 的 挑 战 对 DNS cache miss 攻 击, 业 界 惯 用 的 应 对 方 式 是 将 UDP 请 求 转 为 TCP 请 求, 以 实 现 源 的 真 实 性 验 证 但 现 网 部 署 实 践 早 已 证 明, 因 大 多 数 DNS 客 户 端 不 支 持 TCP, 这 种 防 御 手 段 已 完 全 失 效 当 攻 击 者 对 DNS 授 权 服 务 器 发 起 cache miss 攻 击 时, 如 果 攻 击 是 模 拟 或 透 过 现 网 DNS 缓 存 服 务 器 发 起, 防 御 难 度 就 会 更 大 需 要 有 个 有 效 的 源 信 誉 机 制 来, 在 该 源 上 进 行 会 话 进 行 信 誉 分 析, 方 能 精 确 区 分 合 法 访 问 与 非 法 访 问, 进 而 实 现 精 准 防 护 3 会 话 技 术 缺 失 是 应 对 慢 速 攻 击 失 效 的 关 键 僵 尸 网 络 DDoS 攻 击 防 御 最 难 的 是 利 用 自 身 IP 发 起 的 和 应 用 服 务 器 完 成 三 次 握 手 后 的 针 对 应 用 访 问 缺 陷 的 各 类 慢 速 攻 击, 这 类 攻 击 流 量 小 难 以 被 检 测 到, 如 :SSL-DoS/DDoS HTTP slow headers/post attack HTTP retransmission attack 这 类 攻 击 必 须 依 靠 会 话 监 控 和 行 为 分 析 防 御, 无 论 是 检 测 还 是 清 洗, 对 安 全 设 备 的 精 度 和 性 能 要 求 都 比 普 通 攻 击 高 得 多 目 前, 多 数 厂 商 缺 乏 会 话 技 术, 很 难 检 测 到 这 些 慢 速 攻 击, 也 就 无 法 对 其 进 行 有 效 防 御 V-ISA 信 誉 检 测 机 制, 高 精 度 防 护 新 型 DDoS 攻 击 2
三 华 为 V-ISA 信 誉 安 全 体 系 : 对 付 新 型 DDoS 攻 击 的 利 器 华 为 Anti-DDoS 解 决 方 案 基 于 华 为 颇 具 传 统 优 势 的 专 业 软 硬 件 平 台 开 发, 在 防 护 机 制 中, 引 入 先 进 的 检 测 机 制, 提 供 了 业 内 首 创 的 V-ISA 信 誉 安 全 体 系, 是 业 界 唯 一 单 机 可 提 供 超 百 G DDoS 防 御 能 力 的 产 品, 它 为 运 营 商 企 业 及 数 据 中 心 提 供 了 全 面 精 准 的 防 御 新 型 DDoS 攻 击 的 利 器 1 V-ISA 信 誉 安 全 体 系 运 行 原 理 V-ISA 信 誉 安 全 体 系 运 行 原 理 如 下 : 在 正 常 情 况 下, 系 统 进 行 3/4/7 层 流 量 模 型 学 习, 建 立 被 防 护 IP 的 业 务 访 问 模 型, 包 括 源 的 访 问 模 型 防 御 则 是 基 于 正 常 业 务 模 型 和 流 量 统 计 结 果 对 比, 快 速 发 现 异 常 同 时, 为 避 免 防 御 对 客 户 体 验 的 影 响, 在 流 量 模 型 学 习 过 程 中, 系 统 会 对 信 誉 较 好 的 TopN 访 问 流 量 的 客 户 进 行 信 誉 加 分 当 安 全 事 件 来 临 时, 要 保 障 高 信 誉 的 用 户 访 问 快 速 通 过, 以 提 升 访 问 体 验, 同 时 又 能 对 超 过 源 访 问 基 线 的 可 疑 源 采 用 信 誉 认 证 行 为 分 析 会 话 信 誉 等 检 测 机 制 实 现 精 准 识 别, 可 识 别 的 攻 击 包 括 : 通 过 僵 尸 网 络 发 起 的 伪 造 源 攻 击 真 实 源 攻 击 和 模 拟 正 常 用 户 访 问 的 慢 速 慢 链 接 攻 击 等 通 过 V-ISA 信 誉 安 全 机 制, 可 实 现 既 不 冤 枉 好 人, 也 不 放 过 任 何 一 个 坏 人 2 V-ISA 信 誉 安 全 体 系 构 成 华 为 V-ISA 信 誉 检 测 体 系 包 括 :V(Virtual), 华 为 DDoS 异 常 流 量 清 洗 系 统 可 针 对 云 计 算 的 多 租 户 场 景 进 行 安 全 防 护 和 安 全 运 营 ;I(IP), 提 供 基 于 IP 信 誉 机 制 的 僵 尸 网 络 防 御 ;S(Session), 提 供 基 于 会 话 信 誉 的 慢 速 攻 击 防 御 ;A(Application), 提 供 基 于 行 为 信 誉 的 应 用 攻 击 防 御 基 于 多 租 户 的 DDoS 防 护 和 运 营 : 华 为 DDoS 异 常 流 量 清 洗 系 统 的 防 护 对 象 天 然 和 云 计 算 环 境 下 的 租 户 概 念 相 对 应, 系 统 提 供 客 户 化 的 防 御 策 略 防 御 阈 值 配 置 和 报 表 呈 现, 提 供 运 营 场 景 下 的 客 户 化 报 表 定 期 自 动 发 送 客 户 报 表 自 助 Portal 基 于 IP 信 誉 机 制 的 僵 尸 网 络 防 御 : 通 过 各 类 僵 尸 网 络 挖 掘 技 术 DDoS 攻 击 防 御 时 产 生 的 黑 名 单 等, 形 成 僵 尸 网 络 控 制 机 及 肉 鸡 IP 地 址 库, 根 据 IP 活 跃 时 间 评 估 僵 尸 网 络 主 机 活 跃 时 间, 将 活 跃 的 主 机 地 址 作 为 恶 意 流 量 过 滤 地 址 列 表 这 种 技 术 采 用 对 恶 意 流 量 直 接 过 滤 的 方 式, 不 用 对 源 再 次 进 行 认 证, 避 免 了 认 证 技 术 对 正 常 业 务 的 影 响 而 且, 在 传 统 认 证 技 术 对 移 动 网 络 应 用 还 不 适 用 的 今 天, 这 种 直 接 过 滤 技 术 对 于 移 动 僵 尸 网 络 的 防 御 也 提 供 了 新 的 思 路 同 时, 为 了 避 免 防 御 影 响 客 户 体 验, 华 为 DDoS 异 常 流 量 清 洗 系 统 还 广 泛 使 用 了 客 户 访 问 信 誉, 在 攻 击 未 发 生 时, 将 流 量 高 且 行 为 正 常 的 客 户 IP 纳 入 IP 信 誉 列 表, 确 保 防 御 开 启 后, 该 类 客 户 的 流 量 能 快 速 转 发 该 防 御 技 术 如 果 被 应 用 于 移 动 应 用 防 御 场 景 和 移 动 终 端 访 问 的 电 子 商 务 网 站 防 御 场 景, 不 仅 会 提 升 防 御 效 率, 而 且 能 最 大 限 度 降 低 防 御 误 判 率 基 于 会 话 信 誉 的 慢 速 攻 击 防 御 : 慢 速 攻 击 慢 链 接 攻 击 主 要 是 针 对 基 于 TCP 的 应 用 发 起 的, 这 种 攻 击 往 往 利 用 大 量 僵 尸 主 机 发 起, 每 个 僵 尸 主 机 流 量 小, 链 接 速 度 低, 不 容 易 被 安 全 设 备 发 觉, 这 类 攻 击 的 典 型 代 表 有 SSL-DoS/DDoS HTTP slow headers/post attack HTTP retransmission Sockstress 等 华 为 Anti-DDoS 系 统 会 对 攻 击 发 生 时 能 通 过 各 类 源 认 证 排 除 虚 假 源 之 后 的 可 疑 源 建 立 会 话 表, 在 会 话 上 记 录 该 源 的 各 类 标 记 指 标, 对 源 的 异 常 会 话 行 为 进 行 统 计 分 析, 当 异 常 次 数 超 过 预 定 义 容 忍 度 时, 则 对 该 源 进 行 封 堵 这 种 防 御 方 式 的 优 势 是 可 精 确 区 分 出 僵 尸 主 机 流 量 和 正 常 用 户 流 量, 不 发 生 漏 判 误 判 现 象, 这 一 点, 3 V-ISA 信 誉 检 测 机 制, 高 精 度 防 护 新 型 DDoS 攻 击
业 界 同 类 产 品 很 难 达 到 华 为 是 业 界 少 有 的 几 家 具 有 会 话 防 御 机 制 的 厂 商 之 一, 可 基 于 会 话 检 测 各 类 会 话 异 常 攻 击 基 于 行 为 信 誉 的 应 用 攻 击 防 御 : 行 为 分 析 防 御 技 术 基 于 正 常 用 户 访 问 行 为 和 僵 尸 网 络 攻 击 行 为 的 不 同 来 实 施, 正 常 用 户 访 问 行 为 的 访 问 资 源 是 无 序 的 不 固 定 的, 访 问 频 率 紊 乱 ; 僵 尸 网 络 攻 击 行 为 则 因 攻 击 主 题 是 程 序 设 计 出 来 的, 靠 轮 询 完 成 一 系 列 攻 击 动 作, 攻 击 目 标 是 精 心 选 择 的, 因 此 呈 现 出 来 的 访 问 行 为 是 访 问 资 源 固 定 单 一 的, 访 问 频 率 固 定, 单 个 源 的 pps 可 能 不 高, 但 QPS 较 高 行 为 分 析 技 术, 只 要 行 为 模 型 准 确, 不 会 影 响 正 常 用 户 体 验 而 且 防 御 流 程 中, 行 为 分 析 往 往 和 会 话 信 誉 技 术 源 认 证 技 术 相 结 合, 能 进 一 步 提 升 防 御 精 度 比 如 通 过 行 为 分 析 可 找 出 通 过 传 输 协 议 层 源 认 证 但 TCP 访 问 报 文 比 率 异 常 的 攻 击 源 ; 固 网 HTTP 服 务 器 防 护 场 景 下, 结 合 源 行 为 分 析 仅 对 超 过 源 访 问 基 线 的 可 疑 源 实 施 重 定 向, 在 确 保 防 御 效 果 的 同 时, 还 可 有 效 避 免 防 御 对 智 能 终 端 访 问 的 影 响, 提 升 用 户 体 验 ; 同 样, DNS 防 御 场 景 下, 则 通 过 行 为 分 析 找 到 被 攻 击 域 名, 对 访 问 被 攻 击 域 名 的 可 疑 源 实 施 源 认 证, 减 少 防 御 对 用 户 访 问 体 验 的 影 响 范 围 可 见, 行 为 分 析 需 要 纳 入 分 析 的 维 度 较 多, 而 且 经 常 需 要 对 源 实 施, 因 此 行 为 分 析 对 设 备 性 能 有 较 高 要 求 一 般 安 全 厂 商 因 成 本 和 安 全 能 力 限 制, 很 难 做 到 精 细 化 行 为 分 析, 因 此 也 就 不 能 做 到 精 细 化 防 护 华 为 的 设 备 采 用 业 界 领 先 的 多 核 分 布 式 架 构, 单 块 业 务 板 卡 集 成 4 颗 高 性 能 的 CPU, 可 实 现 应 用 层 行 为 分 析 处 理 能 力 10G, 这 是 业 界 多 数 同 类 厂 商 难 以 企 及 的 总 结 基 于 V-ISA 信 誉 检 测 体 系, 华 为 Anti-DDoS 解 决 方 案 具 备 了 强 大 的 智 能 防 护 引 擎, 得 以 在 系 统 内 部 集 成 DDoS 防 护 必 备 的 7 层 防 护 算 法 : 畸 形 包 过 滤 特 征 过 滤 虚 假 源 认 证 应 用 层 认 证 会 话 分 析 行 为 分 析 和 智 能 限 速 畸 形 报 文 过 滤 针 对 违 反 协 议 标 准 的 报 文 进 行 检 查 和 丢 弃 ; 特 征 过 滤 使 用 华 为 强 大 的 指 纹 学 习 和 匹 配 算 法, 可 识 别 带 有 指 纹 的 攻 击 流 量, 同 时 可 针 对 自 定 义 报 文 特 征, 如 IP 端 口 等 信 息 对 报 文 进 行 过 滤 ; 虚 假 源 认 证 和 应 用 层 源 认 证 能 验 证 流 量 源 IP 的 访 问 意 图 和 真 实 性 ; 会 话 分 析 和 行 为 分 析 能 针 对 TCP 连 接 和 应 用 DDoS 攻 击 的 慢 速 访 问 频 率 恒 定 访 问 资 源 单 一 的 特 点 进 行 统 计 分 析, 对 具 有 较 强 躲 避 效 果 的 僵 尸 网 络 DDoS 攻 击 有 良 好 的 防 范 效 果 ; 智 能 限 速 则 可 以 针 对 大 流 量 正 常 行 为 进 行 限 制 和 控 制, 保 证 服 务 器 的 可 用 性 正 是 因 为 有 了 V-ISA 信 誉 安 全 机 制, 华 为 Anti-DDoS 解 决 方 案 可 提 供 可 信 赖 的 7 层 完 整 防 护, 逐 层 对 攻 击 流 量 进 行 清 洗 过 滤, 实 现 对 新 型 DDoS 攻 击 的 全 面 防 护, 同 时 确 保 客 户 业 务 访 问 不 受 影 响 V-ISA 信 誉 检 测 机 制, 高 精 度 防 护 新 型 DDoS 攻 击 4
版 权 所 有 华 为 技 术 有 限 公 司 2013 保 留 一 切 权 利 非 经 华 为 技 术 有 限 公 司 书 面 同 意, 任 何 单 位 和 个 人 不 得 擅 自 摘 抄 复 制 本 手 册 内 容 的 部 分 或 全 部, 并 不 得 以 任 何 形 式 传 播 商 标 声 明 HUAWEI 华 为 是 华 为 技 术 有 限 公 司 的 商 标 或 者 注 册 商 标 在 本 手 册 中 以 及 本 手 册 描 述 的 产 品 中, 出 现 的 其 他 商 标 产 品 名 称 服 务 名 称 以 及 公 司 名 称, 由 其 各 自 的 所 有 人 拥 有 免 责 声 明 本 文 档 可 能 含 有 预 测 信 息, 包 括 但 不 限 于 有 关 未 来 的 财 务 运 营 产 品 系 列 新 技 术 等 信 息 由 于 实 践 中 存 在 很 多 不 确 定 因 素, 可 能 导 致 实 际 结 果 与 预 测 信 息 有 很 大 的 差 别 因 此, 本 文 档 信 息 仅 供 参 考, 不 构 成 任 何 要 约 或 承 诺 华 为 可 能 不 经 通 知 修 改 上 述 信 息, 恕 不 另 行 通 知 华 为 技 术 有 限 公 司 深 圳 市 龙 岗 区 坂 田 华 为 基 地 电 话 : (0755) 28780808 邮 编 : 518129 版 本 号 : M3-036926-20130912-C-1.0 www.huawei.com