合泰云天郭庆：云清洗三打DDoS

DDoS 永不消失的威胁

作为经常出现在头条网络攻击新闻中的DDoS(Distributed Denial of Service)分布式拒绝服务攻击，手段方式日趋高明，攻击者的背景也更加复杂。金融、电子商务、游戏、政府与大量灰色交易网站更是DDoS攻击的主要目标。

DDoS历史可追溯至1996年互联网早年岁月，2002年在国内生根蔓延。时至今日，其技术手段几经风雨，历久弥新。

传统的DDoS攻击是通过黑客在全球范围互联网用户中建立的僵尸网络发出的，数以百万计受感染的机器在用户不知情中参与攻击，向路由器、交换机、防火墙、Web服务器、应用服务器、DNS服务器、邮件服务器，甚至数据中心疯狂发包，直接导致攻击目标CPU高、内存满、应用忙、系统瘫痪、带宽拥堵、转发困难、并发耗尽等等，结果是网络应用甚至基础设施不可用。

如今的DDoS手段更加简单直接，云时代的各种虚拟化服务也为其提供了新的滋生场所，行内人皆知其厉害。当前的主流三大攻击手段是IP大包拥堵出口带宽，SYN小包冲击PPS转发， GET并发服务连接耗尽。

DDoS清洗专家近来对客户的十条新建议：

1. 不要认为你可以防住真正的DDOS攻击;

2. 如果你没遇到什么攻击，那么你真没有什么值的攻击的;

3. 所有的无效攻击都会在半小时内停止;

4. 尽量显得挣钱很难，这样攻击者就不容易看见你了;

5. 能防住的攻击总是简单的,简单的攻击不见得能防住;

6. 容易防御的攻击总是可以免费实现的;

7. 如果你防住了攻击，别忘了他们正在调整手段;

8. 真正的安全服务总是在攻击防不住时被想起来;

9. 你肯定能防住的是测试时出现的攻击类型;

10. 专业的攻击行为你可能预测的到，可惜业余的攻击者越来越多;

云清洗的来龙去脉

2000年七月加拿大15岁的迈克尔?卡尔斯发动史上首次大规模的DDoS攻击，目标是当年红极一时的雅虎、CNN、eBay、戴尔和亚马逊网站。原来一个小孩也可以让雅虎宕机。那个时代的DDoS防御技术还是类似防火墙的方式串联在网络中。1G的攻击量已经非同小可。DDoS成为黑客大战的主要武器。常见的拔线断网、更换IP、路由黑洞等维护措施只是保护网络的手法，但是极大伤害到最终客户的利益。

2005年10G的攻击开始频繁出现，DDoS成为政治和商业竞争中心照不宣的网络核武器。同年，Cisco收购以色列Riverhead公司推出Guard产品，成为第二代DDoS防御的标志性解决方案，旁路部署的清洗中心成为各大运营商的主流安全法宝之一。

2010年云计算风潮扑面而来，随着宽带提速等云时代的网络发展，DDoS攻击升级到百G时代，更加容易塞满入口带宽、冲击转发丢包、耗尽应用连接。经典的流量清洗设计也只能防护自建的清洗中心覆盖下的客户，无法适应云时代移动服务的新需求。Arbor公司开发的云信令(Cloud Signaling)技术，使得本地清洗与云清洗有机地融为一体，本地清洗系统在必要时调用云清洗中心的资源，形成“云上”清洗大流量、“云下”清洗应用层的全新景观。

云清洗的黄金三角

云清洗是云计算时代的全新防御体系设计，其分别由云火墙系统、云调度系统与云清洗系统组成，工作模式如下图：

云火墙是部署在本地网络边界的防火墙类安全网关(如UTM，WAF，IPS等状态检测设备)，新增向外发出云信令与接收统一云策略的通信功能，串接模式保障7×24小时尽可能处理本地能够解决的攻击类型(前提是带宽不满，转发正常，策略固定等)，其重点在本地应用层防御。

云调度是集中接收云信令后统一分析及甄别安全问题、决策哪些在本地解决、哪些按需调度云端资源解决的指挥系统。其智能化响应速度决定于SOC(安全运营中心)的 ERT(紧急响应小组)防御经验的广度与深度。

云清洗系统是由分布式部署在高带宽云端的流量清洗中心组成。每个清洗中心擅长处理的攻击类型不同、所处地理位置不同、所属网络不同，可以按需处理调度中心牵引过来的问题流量，其重点在网络层防御。

云信令是本地安全系统中一种向云端系统通知本地状态与报警申请支援的通信协议，云调度系统收到云信令后决策启动云清洗或停止清洗策略。

原有部署在本地边界的防火墙等串联安全网关，通过新增旁路探测器异常检测系统即可实现云信令的功能，在探测到带宽拥塞、转发丢包、状态耗尽时向云端呼叫支援。

云清洗三打DDoS

DDoS最直接有效的攻击就是将出口带宽塞满，令本地的任何防护设备都无济于事。流量型、流速型、应用型等多种变化混合的DDoS攻击将使技术人员无所适从。“云清洗”面对这样的敌手，如何根据DDoS攻击类型与网络流量状况及清洗系统本身特点，集中引导流量到不同网络上的清洗中心，疏导网络拥堵，定向屏蔽持续的攻击?云调度系统则成为云清洗成功与否的关键，作为云清洗体系的大脑中枢，统一指挥及部署检测系统、清洗系统、路由系统等，使全网设备有机和谐地工作，就能在最正确的位置有效防御DDoS攻击，进而实现流量运营的整体安全。

本地一滤DDoS: 本地边界上的云火墙承担着这个重任，在出口带宽未堵与串联设备处理能力范围内，尽可能处理掉应用类攻击：如HTTP GET、DNS攻击、慢速攻击。

云端二洗DDoS：当探测器发现出口带宽已堵或者串联设备处理能力耗尽，秒级确定被攻击IP地址并通过云信令申告，云调度系统根据攻击大小与类型选择预配置的清洗中心处理。

源端三封DDoS：云调度中心在持续采集攻击样本与路由溯源的分析定位攻击源所在物理位置，动态下发策略拦截DDoS在近源位置的网络设备，封堵长期发出大流量的攻击源。

“云清洗”是一个攻击防御体系架构，亦是一种按需清洗服务。无论用户在什么网络，遇到什么种类攻击，无需用户购买任何硬件设备，云清洗设计都能提供用户承担的起的DDoS清洗服务，将攻击消灭在最正确的有效位置。

云清洗的选择比较

当前主流的DDoS清洗模式有如下图所示四类。

由此可见云清洗模式与传统清洗模式是互为补充的，是一种云时代专业安全服务新模式，专用的云清洗网络(CCN)、与专业的清洗设备与技术团队，以及按使用时长与级别的收费模式皆是针对DDoS攻击特点设计，保证提供面向用户能负担起的DDoS清洗服务。

云清洗发展方向

今天，云暨服务的商业模式已日渐明朗，云自身的可用性一直是业务永续运行的关键因素，谈云的信息安全威胁，首先要在可用性的前提下，才能进一步解决信息的完整性与保密性方面的问题。

云清洗的黄金三角体系中，本地的云火墙串接在网络中实时状态检测攻击的特征。如果与云端数据(如Botnet库)进行交换，自动更新共享威胁库中的黑名单，动态生成相应策略，则可最大可能的阻断数据中心内部僵尸主机与外部主控服务器的恶意通讯，铲除APT类攻击的隐患，保障数据中心入出两个方向的信息安全。

然而云端清洗中心除了针对DDoS还能做些什么，异步模式能否清洗SQL/XSS攻击?还有一个部署的现实问题，上下游皆是一家公司的清洗设备易于实现云信令通信，如果是不同厂商的又如何工作? DDoS攻击手法多变，多厂商的技术积累如何充分利用，云清洗联盟是否可行，这些都是云清洗发展的下一步突破方向。

本文作者：郭庆，合泰云天(北京)信息科技公司创办人，曾任Cisco，Arbor Networks 流量清洗技术工程师