A-PDF Watermark DEMO: Purchase from www.a-pdf.com to remove the watermark 卓 越 的 互 联 网 业 务 平 台 提 供 商 基 于 CDN 云 分 发 平 台 的 DDoS 攻 击 防 护 方 案 武 志 鹏
目 录 Contents DDos 攻 击 DDos 攻 击 网 宿 Ddos 网 宿 Ddos 网 宿 Ddos 网 宿 Ddos 发 展 趋 势 防 护 方 案 思 考 攻 击 防 护 方 案 攻 击 防 护 方 案 攻 击 防 护 方 案 攻 击 防 护 方 案 概 述 功 能 介 绍 案 例 1 2 3 4 5 小 结 6
DDos 攻 击 DDoS 攻 击 DDoS 全 名 是 Distributed Denial of Service ( 分 布 式 拒 绝 服 务 ), 很 多 DoS 攻 击 源 一 起 攻 击 某 台 服 务 器 就 组 成 了 DDoS 攻 击
DDos 攻 击 发 展 趋 势 攻 击 形 成 产 业 链 攻 击 次 数 大 幅 增 加 攻 击 规 模 倍 数 增 长 2001 2002 2003 2004 2005 2006 2008 2010 攻 击 规 模 增 长 趋 势 100 Gbps 2008 2009 2010 2011 攻 击 次 数 增 长 趋 势 比 2008 增 长 20 多 倍 挂 马 网 络 黑 社 会 肉 机 商 业 竞 争 DDos 攻 击 攻 击 黑 吃 黑
中 国 是 最 大 的 DDos 攻 击 来 源 地 Akamai 2012 Q1 Prolexic 2012 Q2
中 国 DDos 攻 击 频 繁 我 国 境 内 日 均 发 生 攻 击 总 流 量 超 过 1G 的 较 大 规 模 的 DDoS 攻 击 事 件 365 起 受 攻 击 方 恶 意 将 流 量 转 嫁 给 无 辜 者 的 情 况 屡 见 不 鲜 2011 年 多 家 省 部 级 政 府 网 站 都 遭 受 过 流 量 转 嫁 攻 击, 且 这 些 流 量 转 嫁 事 件 多 数 是 由 游 戏 私 服 网 站 争 斗 引 起 摘 自 国 家 互 联 网 应 急 中 心 (CNCERT) 2011 年 中 国 互 联 网 网 络 安 全 报 告
近 年 来 一 些 DDos 攻 击 事 件 2011.2 2011.3 2011.6 2011.11 2009.5 2010.11 2007.6 百 合 网 DNSPOD 维 基 揭 秘 wordpress 劲 舞 团 游 戏 美 团 网 米 奇 网 500wan 彩 票 网 Prolexic 声 称 帮 助 某 亚 洲 电 子 商 务 网 站 缓 解 了 峰 值 约 为 45Gbps 的 DDos 攻 击
目 录 Contents DDos 攻 击 防 护 方 案 思 考 2
DDos 攻 击 如 何 防 御 呢? 购 买 个 防 火 墙 应 该 就 可 以 了 吧? 可 是 要 买 能 够 抗 多 大 攻 击 量 的 设 备? 可 能 还 得 购 买 大 量 的 带 宽 储 备, 可 是 平 时 带 宽 又 很 小 这 样 看 来 成 本 不 小 啊
网 宿 DDoS 攻 击 防 护 的 思 考 网 宿 拥 有 国 内 最 大 带 宽 容 量 的 CDN 平 台, 整 体 带 宽 储 备 量 超 过 1500Gbps 网 宿 通 过 多 年 的 运 营 积 累 了 丰 富 的 DDos 攻 击 防 护 经 验, 针 对 不 同 类 型 的 攻 击 进 行 了 针 对 性 的 防 御, 可 以 防 御 各 种 DDos 攻 击 :SYN Flood UDP Flood ICMP Flood HTTP GET/POST Flood CC Flood DNS Query Flood 等 在 为 客 户 网 站 提 供 安 全 保 护 的 同 时, 也 提 供 了 CDN 加 速 服 务, 提 升 用 户 体 验, 做 到 客 户 网 站 平 时 加 速, 攻 时 防 护 利 用 CDN 多 年 数 据 分 析 经 验 积 累, 对 攻 击 数 据 进 行 多 角 度 的 分 析, 以 利 于 客 户 对 攻 击 进 行 跟 踪 与 后 续 处 理
目 录 Contents 网 宿 DDos 攻 击 防 护 方 案 概 述 3
网 宿 DDoS 攻 击 防 护 方 案 方 案 动 画 演 示 建 立 保 护 墙 攻 击 监 测 调 度 分 散 逐 个 击 破
网 宿 科 技 DDos 防 护 方 案 示 意 图 方 案 示 意 图 GLB( 全 局 负 载 均 衡 ) 抗 DDoS 中 心 调 度 源 站 在 客 户 源 站 外 围 建 立 一 道 坚 固 的 保 护 墙 CDN 安 全 节 点 可 抵 御 住 绝 大 部 分 的 攻 击 抗 DDos 调 度 中 心, 根 据 各 个 安 全 节 点 反 馈 的 信 息 自 动 进 行 流 量 调 度, 保 证 每 个 安 全 节 点 所 承 受 的 攻 击 流 量 在 它 可 承 受 的 范 围 之 内, 尽 量 保 证 客 户 网 站 CDN 安 全 节 点 攻 击 者 CDN 安 全 节 点 攻 击 者 受 攻 击 时 访 问 的 可 用 性 攻 击 者
目 录 Contents 网 宿 DDos 攻 击 防 护 方 案 功 能 介 绍 4
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 网 宿 DDos 防 护 方 案 功 能 支 持 网 宿 CDN 加 速 拥 有 强 大 的 网 络 分 发 系 统, 可 将 客 户 网 站 的 内 容 分 发 至 网 宿 科 技 全 网 服 务 节 点, 并 进 行 智 能 调 度 和 缓 存, 使 用 户 可 就 近 取 得 所 需 内 容, 解 决 Internet 网 络 拥 挤 的 状 况, 提 高 用 户 访 问 网 站 的 响 应 速 度
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 CDN 加 速 功 能 内 容 缓 存 到 各 个 边 缘 集 群, 使 用 户 伸 手 可 得 用 户 源 站 最 终 用 户 到 最 近 的 边 缘 集 群 即 可 拿 到 想 要 的 内 容 网 宿 CDN 边 缘 集 群
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 网 宿 DDos 防 护 方 案 功 能 支 持 网 宿 DDos 防 护 方 案 在 客 户 源 站 外 围 建 立 一 道 坚 固 的 保 护 墙, 有 效 隐 藏 了 源 站 攻 击 者 只 能 访 问 到 CDN 边 缘 安 全 节 点, 无 法 对 客 户 源 站 进 行 直 接 攻 击 保 护 墙 除 了 保 护 源 站 不 受 到 DDos 攻 击 外, 还 屏 蔽 了 源 站 原 有 的 其 他 安 全 漏 洞, 消 除 了 被 攻 击 者 利 用 其 他 漏 洞 攻 击 的 隐 患
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 源 站 隐 藏 功 能 源 站 CDN 安 全 节 点 CDN 安 全 节 点 攻 击 者 攻 击 者 攻 击 者 不 知 道 源 站 在 哪 里! 攻 击 者
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 抗 SYN Flood 攻 击 当 前 最 流 行 的 DoS 与 DDos 的 方 式 之 一, 该 攻 击 利 用 TCP 协 议 缺 陷, 发 送 大 量 伪 造 的 TCP 连 接 请 求, 从 而 使 得 被 攻 击 方 资 源 耗 尽 SYN Flood 攻 击 防 范 传 统 的 防 范 方 案 收 到 传 统 的 TCP SYN 包 并 返 回 TCP SYN+ACK 包 时, 根 据 SYN 包 计 算 一 个 cookie 值, 暂 不 分 配 数 据 区 根 据 cookie 值 检 验 TCP ACK 包 的 合 法 性 合 法 再 分 配 专 门 的 数 据 区 进 行 处 理 未 来 的 TCP 连 接 网 宿 的 防 范 方 案 网 宿 针 对 SYN 攻 击 特 征 和 协 议 栈 低 效 的 现 状, 在 系 统 底 层 做 了 针 对 性 的 开 发 与 性 能 优 化, 对 SYN 包 做 高 效 地 响 应 和 处 理, 使 得 防 御 SYN 攻 击 的 性 能 大 幅 提 升 网 宿 抗 SYN Flood 性 能 是 同 等 配 置 条 件 下 传 统 SYN cookie 的 10 倍 以 上!!
CPU 使 用 率 网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 网 宿 抗 SYN Flood 攻 击 性 能 8 核 服 务 器,500Mbps SYN 攻 击 流 量 100% 80% 60% 40% 20% 0% cpu 使 用 率 syn cookie 100% 网 宿 方 案 10%
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 抗 UDP/ICMP Flood 攻 击 UDP/ICMP Flood 攻 击 一 般 是 带 宽 消 耗 型 的 攻 击 UDP/ICMP 攻 击 防 范 由 于 主 要 提 供 的 是 Web 服 务, 因 此 UDP/ICMP 的 数 据 包 很 少, 网 宿 在 系 统 底 层 针 对 这 些 类 型 包 的 请 求 设 置 一 个 阈 值 进 行 拦 截, 能 够 极 大 减 轻 机 器 的 负 载
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 抗 HTTP 攻 击 HTTP Flood 攻 击 是 最 为 常 见 的 DDos 攻 击 之 一 大 量 真 实 的 HTTP 请 求, 使 得 被 攻 击 方 资 源 耗 尽 HTTP 流 量 攻 击 攻 击 特 征 大 量 访 问 特 定 的 静 态 URL, 如 网 站 首 页 HTTP 流 量 攻 击 防 护 策 略 CDN 安 全 节 点 根 据 单 位 时 间 内 同 一 IP 的 访 问 次 数 进 行 限 制 CDN 安 全 节 点 根 据 单 位 时 间 内 的 总 访 问 流 量 进 行 限 制 CDN 安 全 平 台 根 据 单 位 时 间 内 所 有 服 务 器 的 总 访 问 流 量 进 行 限 制
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 抗 CC 攻 击 CC 攻 击 是 最 为 常 见 的 DDos 攻 击 之 一 大 量 真 实 的 HTTP 请 求, 访 问 不 存 在 的 链 接 或 者 动 态 的 URL, 使 得 源 站 资 源 耗 尽 CC 攻 击 特 征 大 量 访 问 不 存 在 的 URL, 造 成 大 量 回 源 大 量 访 问 动 态 的 URL, 造 成 大 量 回 源 CC 攻 击 防 护 策 略 CDN 安 全 节 点 根 据 单 位 时 间 内 同 一 IP 的 回 源 访 问 次 数 进 行 限 制 CDN 安 全 节 点 根 据 单 位 时 间 内 的 总 回 源 访 问 流 量 进 行 限 制 CDN 安 全 平 台 根 据 单 位 时 间 内 所 有 服 务 器 的 总 回 源 访 问 量 进 行 限 制
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 抗 DNS Query Flood 攻 击 发 送 大 量 的 域 名 解 析 请 求, 请 求 解 析 的 域 名 可 能 是 真 实 域 名 随 机 生 成 或 根 本 不 存 在 的 域 名, 从 而 使 得 被 攻 击 方 资 源 耗 尽 DNS 攻 击 防 范 策 略 网 宿 使 用 自 主 开 发 的 GDNS 作 为 基 础 DNS, 针 对 DNS Query Flood 做 了 相 应 策 略, 单 台 服 务 器 相 比 Bind 抗 攻 击 性 能 提 升 20 倍 以 上, 并 通 过 集 群 化 分 布 式 的 部 署, 使 得 整 体 系 统 具 有 很 强 的 抗 攻 击 能 力
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 网 宿 DDos 防 护 方 案 功 能 支 持 网 宿 DDos 防 护 方 案 对 客 户 CDN 加 速 及 攻 击 进 行 详 细 的 数 据 分 析, 为 客 户 提 供 丰 富 的 CDN 加 速 报 表 及 安 全 防 护 成 果 报 表 展 示
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 CDN 加 速 报 表 报 表 丰 富 数 据 详 尽 各 频 道 带 宽 各 地 区 带 宽
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 安 全 防 护 数 据 分 析 与 展 示 攻 击 显 示 标 记 带 宽 攻 击 标 记 显 示 : 直 观 地 了 解 某 一 定 时 间 的 攻 击 情 况
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 安 全 防 护 数 据 分 析 与 展 示 攻 击 拦 截 次 数 总 请 求 次 数 与 拦 截 次 数 的 对 比 图 : 直 观 地 了 解 各 个 时 段 的 安 全 防 护 状 况
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 安 全 防 护 数 据 分 析 与 展 示 TOP100 访 客 安 全 拦 截 次 数 TOP100 访 客 拦 截 次 数 列 表 : 提 供 攻 击 访 问 最 为 强 烈 的 IP 列 表, 方 便 客 户 后 续 对 攻 击 者 的 处 理
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 安 全 防 护 数 据 分 析 与 展 示 TOP100 URL 安 全 防 护 次 数 TOP100 URL 拦 截 列 表 : 提 供 攻 击 访 问 最 多 的 URL 列 表, 方 便 后 续 对 被 攻 击 URL 做 更 进 一 步 的 防 护 处 理
网 宿 科 技 DDos 防 护 方 案 功 能 介 绍 实 时 监 测 攻 击 与 报 警 网 宿 DDos 防 护 平 台 各 个 安 全 节 点 实 时 监 测 各 种 DDos 攻 击, 并 将 详 细 的 监 测 数 据 迅 速 报 警 到 网 宿 科 技 24 小 时 监 控 平 台,24 小 时 值 班 监 控 人 员 将 迅 速 按 照 各 种 防 攻 击 预 案 进 行 处 理 另 外, 网 宿 DDos 防 护 平 台 同 时 支 持 通 过 邮 件 与 短 信 的 方 式 将 攻 击 报 警 通 知 到 各 相 关 人 员, 方 便 相 关 人 员 及 时 关 注 与 介 入 处 理
目 录 Contents 网 宿 DDos 攻 击 防 护 方 案 案 例 5
网 宿 抗 DDoS 攻 击 案 例 某 电 子 商 城 遭 遇 HTTP GET 攻 击 2012 年 4 月 某 电 子 商 城 HTTP GET 攻 击, 网 宿 成 功 抵 御 了 22Gbps 的 HTTP GET 攻 击, 攻 击 带 宽 约 为 该 电 子 商 城 网 站 平 常 的 1100 倍 ( 平 常 带 宽 约 20Mbps) 19:30 网 宿 通 过 数 据 分 析 得 到 攻 击 特 征 部 署 相 应 的 安 全 防 护 策 略, 抵 御 异 常 请 求, 带 宽 降 低 为 2.5Gbps 20:50 攻 击 结 束
网 宿 抗 DDoS 攻 击 案 例 某 商 业 电 讯 网 站 遭 遇 CC 攻 击 2012 年 5 月 某 商 业 电 讯 遭 遇 CC 攻 击, 导 致 大 量 动 态 内 容 回 源 请 求, 最 高 回 源 动 态 请 求 量 达 140Mbps, 经 网 宿 数 据 分 析 后, 部 署 相 应 的 防 护 策 略 后, 回 源 请 求 大 大 减 小, 源 站 压 力 骤 降
网 宿 抗 DDoS 攻 击 案 例 某 电 子 商 务 网 站 遭 遇 SYN Flood 攻 击 2012 年 6 月 某 电 子 商 务 遭 受 多 次 SYN Flood 攻 击, 攻 击 时 间 持 续 较 长, 最 大 攻 击 量 达 到 了 14Gbps, 网 宿 成 功 抵 御 了 攻 击, 保 证 了 网 站 正 常 服 务
网 宿 平 台 遭 遇 DDos 攻 击 不 完 全 记 录 时 间 攻 击 类 型 攻 击 带 宽 2011.9 DNS Query Flood >10Gbps 2011.9 SYN Flood >15Gbps 2011.11 SYN Flood >15Gbps 2011.11 UDP Flood >2Gbps 2011.12 DNS Query Flood >8Gbps 2011.12 SYN/UDP/HTTP GET Flood 约 3.6Gbps 2011.12 HTTP GET Flood 约 2.3Gbps 2011.12 HTTP GET Flood 约 1~2Gbps 2012.1 HTTP GET Flood 约 7.5Gbps 2012.1 HTTP GET Flood 约 7Gbps 2012.1 SYN/HTTP GET Flood 约 4Gbps 2012.1 SYN/HTTP GET Flood 约 2Gbps 2012.1 HTTP GET Flood 多 次,1.1~1.5Gbps 2012.1 HTTP GET Flood 约 2.75Gbps 2012.1 SYN/HTTP GET Flood 约 5.5Gbps 2012.2 HTTP GET Flood 多 次,3.7~4.5Gbps 2012.3 UDP/HTTP GET Flood 约 5Gbps 2012.3 HTTP GET Flood 约 2.25Gbps 2012.4 HTTP GET Flood 约 2.7Gbps 2012.4 HTTP GET Flood 约 22Gbps 2012.5 CC Flood 约 140Mbps 2012.6 SYN Flood 约 14Gbps 注 : 以 上 是 从 2011 年 9 月 到 2012 年 6 月 的 不 完 全 统 计 攻 击 记 录, 除 了 CC Flood 之 外, 均 为 1Gbps 以 上 的 其 它 攻 击 仅 统 计 1Gbps 以 上 的 攻 击, 还 有 数 十 次 1Gbps 以 下 的 攻 击
目 录 Contents 网 宿 DDos 攻 击 防 护 方 案 小 结 6
网 宿 科 技 DDos 防 护 方 案 小 结 方 案 小 结 首 先, 网 宿 DDos 攻 击 防 御 方 案 充 分 利 用 CDN 的 特 点, 在 客 户 源 站 外 围 建 立 一 道 坚 固 的 保 护 墙, 有 效 隐 藏 客 户 源 站, 避 免 源 站 受 到 攻 击, 是 对 原 有 单 一 节 点 安 全 系 统 的 有 力 补 充 其 次, 网 宿 DDos 攻 击 防 御 方 案 使 用 网 宿 全 球 负 载 均 衡 系 统, 该 系 统 能 够 实 时 监 测 平 台 所 有 节 点 的 服 务 状 况, 灵 活 调 度 流 量, 同 时 结 合 网 宿 抗 DDoS 调 度 系 统, 有 效 分 散 攻 击, 对 故 障 进 行 及 时 切 换, 保 障 平 台 所 有 客 户 的 可 用 性 最 后, 网 宿 DDos 攻 击 防 御 方 案 在 整 个 平 台 均 部 署 了 防 攻 击 策 略, 对 不 同 类 型 攻 击 进 行 针 对 性 防 御
THANK YOU! 感 谢 聆 听!