GFIC2017—亞太CDN年會在全產(chǎn)業(yè)鏈同仁的支持下已經(jīng)勝利閉幕���。年會活動邀請了中國信通院����、網(wǎng)心科技�����、云熵網(wǎng)絡(luò)、云帆加速�、平安科技、又拍云�、北京供銷大數(shù)據(jù)集團(tuán)、騰訊云�、雷鳥電視、國廣東方����、鵬博士電信傳媒集團(tuán)、CenturyLink��、CC視頻���、NTT�、京東云����、金山云、蜻蜓FM�、視博云、PPTV聚力云���、美團(tuán)云����、咪咕視訊、360企業(yè)安全集團(tuán)����、網(wǎng)易云、綠盟科技�、知道創(chuàng)宇、北京椒圖科等出席會議�����。本文將重點(diǎn)介紹GFIC2017—亞太CDN年會“高防云論壇”嘉賓核心觀點(diǎn)�����。
“高防云論壇”圍繞高防CDN和高防云平臺等議題��,探討網(wǎng)絡(luò)信息安全大背景下的高防云平臺的建設(shè)��。出席本次圓桌論壇的有:北京椒圖科技有限公司VP李棟�����、360安域產(chǎn)品研發(fā)經(jīng)理王梟卿��、網(wǎng)易信息安全部技術(shù)總監(jiān)沈明星���、知道創(chuàng)宇安全顧問魏雅楠���。
網(wǎng)易沈明星:打造云清洗防護(hù)中心,CDN與安防優(yōu)勢互補(bǔ)���。
沈明星介紹說���,網(wǎng)易正在搭建一個云的清洗防護(hù)中心,涉及到一些關(guān)鍵指標(biāo)�,就是像用戶非常關(guān)鍵延時,必然會在選擇高防節(jié)點(diǎn)的時候�,靠近自己的云和終端用戶。這樣做����,能夠更多的去減少網(wǎng)絡(luò)上的延遲,來保證用戶體驗(yàn)�����。沈明星同時表示,網(wǎng)易目前比較關(guān)注資源的隔離�����,因?yàn)橐粋€云抗D的平臺或者一個清洗中心必然會接入大量的用戶��。怎么樣保證各個用戶之間的業(yè)務(wù)是個難題����,比如說某個用戶被攻擊會不會影響到其他用戶等。為此��,網(wǎng)易云易盾真正的做到了“隔離源頭”���。他們會每一個用戶高防IP都會有一個獨(dú)立的定程����,會做到一個自覺的隔離�����,在網(wǎng)絡(luò)上用戶購買這個套餐����,網(wǎng)易會直接把IP直接拉黑��,保證網(wǎng)易整個平臺的安全�����。
當(dāng)被問到在如何抗擊DDoS和CC的攻擊時,沈明星認(rèn)為最重要的是工作經(jīng)驗(yàn)和顯示對抗的角度����。抗D這一塊是對資源��,出口帶寬一定要大��,自己設(shè)備一定要多��,這個純粹就是簡單粗暴��,沒有資源根本抗不住����。針對CC攻擊就是綿里藏針的一些攻擊,更多的是比拼技術(shù)��,和數(shù)據(jù)的積累,防CC的時候必然需要用戶的數(shù)據(jù)模型�,需要信譽(yù)庫,像阿里和游戲盾這些也會用到一系列的技術(shù)��。
而對于當(dāng)下���,越來越多的CDN企業(yè)開始與安防企業(yè)進(jìn)行合作���。沈明星認(rèn)為,CDN和安防本身就存在著一些互補(bǔ)的優(yōu)勢���。CDN的流量是進(jìn)少出多�����,DDoS就是進(jìn)多出少����。國內(nèi)幾家CDN廠商�����,像網(wǎng)宿他們也做這塊業(yè)務(wù)的����,CDN廠商也是看到了這塊的契機(jī)的�,他們也是想做一些高防的節(jié)點(diǎn)��,跟CDN結(jié)合DDoS防護(hù)的能力��。業(yè)務(wù)設(shè)計會把JS圖片直接放在CDN節(jié)點(diǎn)上�����,這就不需要回源到原件上的���,這種攻擊更多影響是CDN本身的業(yè)務(wù)。沈明星認(rèn)為����,從這個角度而言CDN的廠商對于保護(hù)自身而言也有防御工具的需求。
360王梟卿:360度無死角的防護(hù)�����,CDN如何與高防云配合無間�����?
當(dāng)被問到“抗DDoS和抗CC攻擊中,最關(guān)鍵的是什么”時�,王梟卿認(rèn)為是資源。當(dāng)600G到700G的攻擊直接打到一個地方�����,你的節(jié)點(diǎn)或者IDC出口帶寬如果小于這個數(shù)的話�,基本上就是就沒法運(yùn)作。運(yùn)營商IDC方面的話��,一般會采取的做法就是為了不影響其他業(yè)務(wù)而自保���,直接把你的節(jié)點(diǎn)服務(wù)IP丟進(jìn)黑洞��,解封完一般需要兩到三個小時�。如果所有節(jié)點(diǎn)都在這個規(guī)模以下����,要么就是全面掛掉,要么放棄對客戶的防護(hù)����,就這兩種結(jié)果。這就是高防存在的原因����,節(jié)點(diǎn)多做服務(wù)式的防護(hù)是一個優(yōu)勢��,劣勢就是DNS的調(diào)度���,攻擊流量不一定跟的上,直接打節(jié)點(diǎn)的服務(wù)IP或者網(wǎng)端����,這個我們都遇到過,單節(jié)點(diǎn)帶寬至少就是對外部就是成為承諾防護(hù)能力的話����,承諾500G的話��,最好是有500G以上的節(jié)點(diǎn)����,如果攻擊打到一個點(diǎn)確實(shí)承受不住。
王梟卿認(rèn)為���,本身防護(hù)系統(tǒng)的靈活性也能在很大程度上影響到抗DDoS的能力����。 其次大家都知道的問題,就是次之的一些問題���,比如說規(guī)則策略的攻擊性�,DDoS是對抗性很強(qiáng)的攻擊���,比如說防控住之后�����,過個兩三分鐘����,四五分鐘�����,攻擊者那邊就停了���、調(diào)整攻擊的方式重新打�����,如果系統(tǒng)能夠自動判斷最好的����,但當(dāng)出現(xiàn)系統(tǒng)不行的場景,這樣就需要認(rèn)為介入�,去配置去調(diào)整,那么你本身的防護(hù)系統(tǒng)的靈活性就包括你策略配置的靈活性有多高��,直接決定了你的防護(hù)相應(yīng)的延遲還有效果���,這是對于在這種抗D和CC里非常重要的兩個地方��。
對于CDN與高防相結(jié)合����。王梟卿認(rèn)為�,CDN就是分布式的存儲,高防用分布式的方法來做����,其實(shí)的確具有更高的防護(hù)能力�����。確實(shí)就是說現(xiàn)在有很多的CDN的廠家�,那么就是說無論推出這個服務(wù)�����,還是被動的提供客戶��,本身中間CDN就有IP隱藏的作用�,估計會得到CDN節(jié)點(diǎn)上���,有一些CDN公司把這些東西作為服務(wù)推出來了�����。
他認(rèn)為對于CDN客戶來說�����,在比較早的時候�����,一般都會寫一些做好防護(hù)的承諾�,不做保證���,如果像攻擊量不大�,CDN檢測這一方也發(fā)現(xiàn)不了,這個時候就相當(dāng)于默默用戶去承受的�����,量大的話����,CDN公司,本身在這擺著了�,客戶一個是復(fù)雜值還沒有那么高,只是一個商業(yè)行為����,同時的話也是會大量對于其他正常的用戶和業(yè)務(wù)的服務(wù)的話,可能會采用一些回源的措施����,但無論如何,只要在自己能力范圍以內(nèi)�����,其實(shí)如果把這個東西作為一項(xiàng)增值服務(wù)給客戶�����,也會讓你的CDN節(jié)點(diǎn)更加有生機(jī)����、
椒圖科技VP 李棟:資源相互整合,CC攻擊三重奏如何抵抗�����?
李棟認(rèn)為����,未來抗C或者抗D的重點(diǎn)是數(shù)據(jù)的共享,因?yàn)槊考业馁Y源都是有限的�,云鎖差不多有100萬的裝機(jī)量,資源相互整合��,通過相關(guān)的提升�,來抵抗這種能力。
李棟指出�����,與DDoS攻擊不同���,CC攻擊主要是對服務(wù)器的內(nèi)存等占用���,CC攻擊的攻擊原理比較簡單����,通過用一個IP向服務(wù)器發(fā)起數(shù)據(jù)庫請求�����,在短時間內(nèi)占用大量的CPU包括內(nèi)存的資源�����。常規(guī)的防CC攻擊有四種���,一個是硬件WAF��,它現(xiàn)在是大企業(yè)的標(biāo)配����,優(yōu)點(diǎn)是部署非常方便���,本身是用硬件方式交付���,吞吐量比較高�����,但缺點(diǎn)是價格昂貴,對于中小企業(yè)來說應(yīng)該是難以負(fù)擔(dān)的���。另外�����,硬件WAF需要明確的網(wǎng)絡(luò)邊界�,不適合云環(huán)境��。椒圖之前遇到一個用戶購買大量的硬件���,在把業(yè)務(wù)遷移到云上����,又重新數(shù)據(jù)庫��,過濾之后再接到里面�����,這種做法效率比較低。
椒圖抗CC攻擊產(chǎn)品有三重模式����,第一種模式是計數(shù),通過看請求次數(shù)�,用戶可以根據(jù)業(yè)務(wù)的實(shí)際情況進(jìn)行一個調(diào)整,然后中間是一個反向驗(yàn)證��,這個是高低模式����,比較常用的模式。當(dāng)CC攻擊發(fā)生之后�����,會有一個攻擊溯源��,即攻擊發(fā)起包括攻擊的頁面�,給使用者修復(fù)漏洞一個依據(jù)。
知道創(chuàng)宇魏雅楠:軍工級的高防�����,首要資源是關(guān)鍵,能否跟蹤并追查溯源���?
魏雅楠認(rèn)為��,對于CC和DDos攻擊的首要資源很重要����,從攻防角度上也要進(jìn)行實(shí)時的跟蹤����,在日后追查溯源的時候能不能找到這個作惡者��,魏雅楠認(rèn)為高防就像軍工�����,大型的行業(yè)�,單純的打抗D只是終止業(yè)務(wù)終端,如果敲詐的話����,溯源就會起到作用,在抗擊日志里查查還是非常重要的����。
溯源��,魏雅楠認(rèn)為現(xiàn)在業(yè)內(nèi)沒有哪家產(chǎn)品就是可以在很快速的在分鐘級或者分鐘級別內(nèi)把源頭抓到�。她覺得�����,安全工程師安全工作經(jīng)驗(yàn)是其中非常重要的一點(diǎn)�,他們之前有過一個客戶是因?yàn)楸还袅耍彩枪粽哂旭R甲作案�,但他們的安全工程師非常有經(jīng)驗(yàn),通過各個方面探查這個問題到底出在哪里���,最后一步一步的找到了惡意攻擊者���,這樣整個分析過程下來也是在小時級別的,同樣她相信��,隨著未來的科學(xué)技術(shù)發(fā)展�,是可以達(dá)到相同的目的和效果的。
最后�����,對于未來安防領(lǐng)域的發(fā)展和知道創(chuàng)宇所做的貢獻(xiàn),魏雅楠談到�,當(dāng)前許多企業(yè)都已經(jīng)開始意識到各類網(wǎng)絡(luò)攻擊對企業(yè)的危害,但一直苦于無法解決�,企業(yè)的安全問題已經(jīng)成了企業(yè)運(yùn)作的一大痛點(diǎn)。而其中最嚴(yán)重的要數(shù)信息泄露�、入侵被黑、流量劫持�、黑色暗鏈四大安全問題。針對這些問題���,企業(yè)應(yīng)當(dāng)如何解決呢?”魏雅楠分析到:“保護(hù)企業(yè)網(wǎng)站業(yè)務(wù)安全運(yùn)行生命周期可以通過KSA滲透測試從保護(hù)�、檢測、修復(fù)三方面形成閉環(huán)����,從業(yè)務(wù)系統(tǒng)滲透挖掘高級威脅防御,從而進(jìn)行積極防御��,最后針對企業(yè)提出安全管理建議����。”
