随着云计算的快速崛起, 针对互联网主流业务尤其是 WEB 和 DNS 的 DDoS 攻击不断涌现并快速变种, 针对应用层的 DDoS 攻击比例逐年递增恶意竞争已成为 DDoS 攻击的主要动机

V-ISA 信誉检测机制, 高精度防护新型 DDoS 攻击

随着云计算的快速崛起, 针对互联网主流业务尤其是 WEB 和 DNS 的 DDoS 攻击不断涌现并快速变种, 针对应用层的 DDoS 攻击比例逐年递增恶意竞争已成为 DDoS 攻击的主要动机, 根据华为云安全中心统计数据显示, 越是暴利行业的在线业务系统, 遭攻击频率越高, 攻击也越持久今天, 各种有效的躲避技术被僵尸网络广泛应用, 如 : 可快速更替 C&C 服务器 IP 地址的域名生成算法 (DGA) 及 Fast-flux 技术, 使得僵尸网络存活周期越来越长要应对由僵尸网络发起的网络攻击 ( 如 :DDoS 攻击 ), 通过关闭 C&C 服务器这一源头防御技术已不再有效, 传统检测和防御技术在应对新型 DDoS 攻击时显得力不从心安全人员急需新型防御机制, 来应对新 IT 环境下的新型 DDoS 攻击, 以确保高检出率和低误判率一 DDoS 攻击发展趋势 1 应用层的小流量慢速 DDoS 越来越普遍过去几年,DDoS 攻击以网络层攻击为主, 对运营商的网络和基础架构威胁最大 ; 而当前的 DDoS 攻击越来越多的是针对互联网具体应用和业务, 如 : 针对企业门户应用在线购物在线视频在线游戏 DNS email 等华为最新安全报告显示, 针对 WEB 应用的 DDoS 攻击已占到攻击总量的 87.11% 以上为了以较低的攻击成本实现较明显的攻击效果, 黑客从传统的高带宽 / 大流量攻击演化为隐蔽性更强的针对应用层的小流量慢速攻击小流量慢速应用层攻击触及传统的被广泛使用的 flow 流的检测技术的盲点, 由此得以大行其道要想提升应用层 DDoS 攻击的检出率, 必须采用逐包检测技术 2 DDoS 攻击方式变得日益复杂越来越仿真的 CC 攻击 : 黑客发起此类攻击一般都经过事先踩点, 对被攻击的 WEB 服务器进行详细测试和试探, 找出该系统的薄弱点 ; 然后针对脆弱点, 发起针对性的攻击, 一般以查询不存在资源引起大量消耗服务器计算资源为主 ; 最后隐藏攻击源并达到攻击效果, 通过大量受控制的傀儡机, 经由免费代理服务器向 WEB 服务器发起正常请求此类攻击最显著的特征是访问速率不会很高, 但大量近似合法的访问会很快导致服务器计算资源被耗尽, 无法为正常用户提供访问传统的源探测代理方式无法有效进行防护, 需要建立访问源信誉评价体系, 方可高效率精准防护僵尸主机发起的超仿真 CC 攻击 1 V-ISA 信誉检测机制, 高精度防护新型 DDoS 攻击

以小博大的针对 DNS 的 cache miss 攻击 : 针对 DNS 授权服务器的 DDoS 攻击频率仅次于针对 WEB 应用的 DDoS 攻击, 此类攻击的原理是以发送大量不存在的域名的 Query 报文构成 DNS 服务器查询 cache 失败, 形成 cache miss 攻击 DNS 类的攻击是黑客从攻击在线业务服务器本身转战为攻击在线业务所使用的权威域名解析服务器此攻击不仅严重影响了被攻击在线业务的可用性, 而且使其所承载的大量其他互联网业务的域名解析都间接受到影响, 攻击影响面最广, 严重危及互联网基础架构运行安全 2009 年暴风影音事件就是此类攻击的典型体现针对 DNS 服务器进行主动 + 被动的防护策略, 从源信誉会话信誉以及行为分析等多维度进行检测和分析, 可有效防御此类攻击二传统 DDoS 攻击防御方式不足以应对新型 DDoS 攻击 1 客户体验与终端误判, 是 CC 攻击的防御难点对电子商务网站经常出现的 CC 攻击, 主要防御难点在于客户体验与终端误判问题目前, 业界通用的防御 CC 攻击的技术是重定向验证码技术, 这种技术确实可以有效防御攻击, 但同时弹出的验证页面不携带任何网站相关信息, 影响用户体验更严重的是, 随着近两年智能手机的普及, 很多用户用手机访问电子商务系统, 而智能手机 HTTP 应用协议栈实现不完整, 无法支持重定向, 防御会导致正常移动终端用户访问中断正是因为了解防御技术现有缺陷, 攻击者甚至假冒移动智能终端发起攻击如果 DDoS 攻击是针对移动 WEB 应用发起, 防御难度将进一步提升要做到精确识别, 提升用户体验, 必须从智能终端识别应用层源 IP 信誉和会话分析等多维度上进行精确检测和识别 2 非法源识别是 DNS cache miss 攻击防御难点 DNS 是基于 UDP 协议, 它不像 TCP 一样具有连接状态, 这给防御技术带来了巨大的挑战对 DNS cache miss 攻击, 业界惯用的应对方式是将 UDP 请求转为 TCP 请求, 以实现源的真实性验证但现网部署实践早已证明, 因大多数 DNS 客户端不支持 TCP, 这种防御手段已完全失效当攻击者对 DNS 授权服务器发起 cache miss 攻击时, 如果攻击是模拟或透过现网 DNS 缓存服务器发起, 防御难度就会更大需要有个有效的源信誉机制来, 在该源上进行会话进行信誉分析, 方能精确区分合法访问与非法访问, 进而实现精准防护 3 会话技术缺失是应对慢速攻击失效的关键僵尸网络 DDoS 攻击防御最难的是利用自身 IP 发起的和应用服务器完成三次握手后的针对应用访问缺陷的各类慢速攻击, 这类攻击流量小难以被检测到, 如 :SSL-DoS/DDoS HTTP slow headers/post attack HTTP retransmission attack 这类攻击必须依靠会话监控和行为分析防御, 无论是检测还是清洗, 对安全设备的精度和性能要求都比普通攻击高得多目前, 多数厂商缺乏会话技术, 很难检测到这些慢速攻击, 也就无法对其进行有效防御 V-ISA 信誉检测机制, 高精度防护新型 DDoS 攻击 2

三华为 V-ISA 信誉安全体系 : 对付新型 DDoS 攻击的利器华为 Anti-DDoS 解决方案基于华为颇具传统优势的专业软硬件平台开发, 在防护机制中, 引入先进的检测机制, 提供了业内首创的 V-ISA 信誉安全体系, 是业界唯一单机可提供超百 G DDoS 防御能力的产品, 它为运营商企业及数据中心提供了全面精准的防御新型 DDoS 攻击的利器 1 V-ISA 信誉安全体系运行原理 V-ISA 信誉安全体系运行原理如下 : 在正常情况下, 系统进行 3/4/7 层流量模型学习, 建立被防护 IP 的业务访问模型, 包括源的访问模型防御则是基于正常业务模型和流量统计结果对比, 快速发现异常同时, 为避免防御对客户体验的影响, 在流量模型学习过程中, 系统会对信誉较好的 TopN 访问流量的客户进行信誉加分当安全事件来临时, 要保障高信誉的用户访问快速通过, 以提升访问体验, 同时又能对超过源访问基线的可疑源采用信誉认证行为分析会话信誉等检测机制实现精准识别, 可识别的攻击包括 : 通过僵尸网络发起的伪造源攻击真实源攻击和模拟正常用户访问的慢速慢链接攻击等通过 V-ISA 信誉安全机制, 可实现既不冤枉好人, 也不放过任何一个坏人 2 V-ISA 信誉安全体系构成华为 V-ISA 信誉检测体系包括 :V(Virtual), 华为 DDoS 异常流量清洗系统可针对云计算的多租户场景进行安全防护和安全运营 ;I(IP), 提供基于 IP 信誉机制的僵尸网络防御 ;S(Session), 提供基于会话信誉的慢速攻击防御 ;A(Application), 提供基于行为信誉的应用攻击防御基于多租户的 DDoS 防护和运营 : 华为 DDoS 异常流量清洗系统的防护对象天然和云计算环境下的租户概念相对应, 系统提供客户化的防御策略防御阈值配置和报表呈现, 提供运营场景下的客户化报表定期自动发送客户报表自助 Portal 基于 IP 信誉机制的僵尸网络防御 : 通过各类僵尸网络挖掘技术 DDoS 攻击防御时产生的黑名单等, 形成僵尸网络控制机及肉鸡 IP 地址库, 根据 IP 活跃时间评估僵尸网络主机活跃时间, 将活跃的主机地址作为恶意流量过滤地址列表这种技术采用对恶意流量直接过滤的方式, 不用对源再次进行认证, 避免了认证技术对正常业务的影响而且, 在传统认证技术对移动网络应用还不适用的今天, 这种直接过滤技术对于移动僵尸网络的防御也提供了新的思路同时, 为了避免防御影响客户体验, 华为 DDoS 异常流量清洗系统还广泛使用了客户访问信誉, 在攻击未发生时, 将流量高且行为正常的客户 IP 纳入 IP 信誉列表, 确保防御开启后, 该类客户的流量能快速转发该防御技术如果被应用于移动应用防御场景和移动终端访问的电子商务网站防御场景, 不仅会提升防御效率, 而且能最大限度降低防御误判率基于会话信誉的慢速攻击防御 : 慢速攻击慢链接攻击主要是针对基于 TCP 的应用发起的, 这种攻击往往利用大量僵尸主机发起, 每个僵尸主机流量小, 链接速度低, 不容易被安全设备发觉, 这类攻击的典型代表有 SSL-DoS/DDoS HTTP slow headers/post attack HTTP retransmission Sockstress 等华为 Anti-DDoS 系统会对攻击发生时能通过各类源认证排除虚假源之后的可疑源建立会话表, 在会话上记录该源的各类标记指标, 对源的异常会话行为进行统计分析, 当异常次数超过预定义容忍度时, 则对该源进行封堵这种防御方式的优势是可精确区分出僵尸主机流量和正常用户流量, 不发生漏判误判现象, 这一点, 3 V-ISA 信誉检测机制, 高精度防护新型 DDoS 攻击

业界同类产品很难达到华为是业界少有的几家具有会话防御机制的厂商之一, 可基于会话检测各类会话异常攻击基于行为信誉的应用攻击防御 : 行为分析防御技术基于正常用户访问行为和僵尸网络攻击行为的不同来实施, 正常用户访问行为的访问资源是无序的不固定的, 访问频率紊乱 ; 僵尸网络攻击行为则因攻击主题是程序设计出来的, 靠轮询完成一系列攻击动作, 攻击目标是精心选择的, 因此呈现出来的访问行为是访问资源固定单一的, 访问频率固定, 单个源的 pps 可能不高, 但 QPS 较高行为分析技术, 只要行为模型准确, 不会影响正常用户体验而且防御流程中, 行为分析往往和会话信誉技术源认证技术相结合, 能进一步提升防御精度比如通过行为分析可找出通过传输协议层源认证但 TCP 访问报文比率异常的攻击源 ; 固网 HTTP 服务器防护场景下, 结合源行为分析仅对超过源访问基线的可疑源实施重定向, 在确保防御效果的同时, 还可有效避免防御对智能终端访问的影响, 提升用户体验 ; 同样, DNS 防御场景下, 则通过行为分析找到被攻击域名, 对访问被攻击域名的可疑源实施源认证, 减少防御对用户访问体验的影响范围可见, 行为分析需要纳入分析的维度较多, 而且经常需要对源实施, 因此行为分析对设备性能有较高要求一般安全厂商因成本和安全能力限制, 很难做到精细化行为分析, 因此也就不能做到精细化防护华为的设备采用业界领先的多核分布式架构, 单块业务板卡集成 4 颗高性能的 CPU, 可实现应用层行为分析处理能力 10G, 这是业界多数同类厂商难以企及的总结基于 V-ISA 信誉检测体系, 华为 Anti-DDoS 解决方案具备了强大的智能防护引擎, 得以在系统内部集成 DDoS 防护必备的 7 层防护算法 : 畸形包过滤特征过滤虚假源认证应用层认证会话分析行为分析和智能限速畸形报文过滤针对违反协议标准的报文进行检查和丢弃 ; 特征过滤使用华为强大的指纹学习和匹配算法, 可识别带有指纹的攻击流量, 同时可针对自定义报文特征, 如 IP 端口等信息对报文进行过滤 ; 虚假源认证和应用层源认证能验证流量源 IP 的访问意图和真实性 ; 会话分析和行为分析能针对 TCP 连接和应用 DDoS 攻击的慢速访问频率恒定访问资源单一的特点进行统计分析, 对具有较强躲避效果的僵尸网络 DDoS 攻击有良好的防范效果 ; 智能限速则可以针对大流量正常行为进行限制和控制, 保证服务器的可用性正是因为有了 V-ISA 信誉安全机制, 华为 Anti-DDoS 解决方案可提供可信赖的 7 层完整防护, 逐层对攻击流量进行清洗过滤, 实现对新型 DDoS 攻击的全面防护, 同时确保客户业务访问不受影响 V-ISA 信誉检测机制, 高精度防护新型 DDoS 攻击 4

版权所有华为技术有限公司 2013 保留一切权利非经华为技术有限公司书面同意, 任何单位和个人不得擅自摘抄复制本手册内容的部分或全部, 并不得以任何形式传播商标声明 HUAWEI 华为是华为技术有限公司的商标或者注册商标在本手册中以及本手册描述的产品中, 出现的其他商标产品名称服务名称以及公司名称, 由其各自的所有人拥有免责声明本文档可能含有预测信息, 包括但不限于有关未来的财务运营产品系列新技术等信息由于实践中存在很多不确定因素, 可能导致实际结果与预测信息有很大的差别因此, 本文档信息仅供参考, 不构成任何要约或承诺华为可能不经通知修改上述信息, 恕不另行通知华为技术有限公司深圳市龙岗区坂田华为基地电话 : (0755) 28780808 邮编 : 518129 版本号 : M3-036926-20130912-C-1.0 www.huawei.com

随 着 云 计 算 的 快 速 崛 起, 针 对 互 联 网 主 流 业 务 尤 其 是 WEB 和 DNS 的 DDoS 攻 击 不 断 涌 现 并 快 速 变 种, 针 对 应 用 层 的 DDoS 攻 击 比 例 逐 年 递 增 恶 意 竞 争 已 成 为 DDoS 攻 击 的 主 要 动 机

随着云计算的快速崛起, 针对互联网主流业务尤其是 WEB 和 DNS 的 DDoS 攻击不断涌现并快速变种, 针对应用层的 DDoS 攻击比例逐年递增恶意竞争已成为 DDoS 攻击的主要动机