阿里云智能抗D原理及实践
”
DDoS攻防已经从单纯的资源比拼演进成竞技battle。
攻击者为了绕过防御措施,伪装自己(CC攻击)、低频扫射、EDoS…
然而万变不离其宗,透过现象看本质,一定会发现那个伪装者。
2500万超大QPS
2022年2月,阿里云安全成功防御一起针对海外目标发起的CC攻击,攻击峰值达到2582万 QPS,是去年的2.8倍,为迄今为止阿里云观察到的最大流量CC攻击。
通过在底层对流量进行处置,避免海量应用层流量到达源站,阿里云成功保障客户业务正常运转。
1100万恶意IP
2022年6月,阿里云安全成功防御一起针对客户海外业务的CC攻击,事后统计参与攻击的单日IP去重数量高达270万。该客户业务被持续攻击数天,据不完全统计,参与攻击的总IP数到达1104万,且攻击仍然在持续。
该次攻击的特点是“多IP+低QPS”,通过海量新建连接对服务器造成极大压力。经过分析,推测本次攻击发起自移动端设备上安装的恶意App,被阿里云高防的全局防护策略和四七层联动成功拦截,第一时间保障客户业务的正常运行。
僵尸网络异常活跃
阿里云安全近期监测发现,近期多个活跃的Mirai及其变种家族,中控下发攻击频率增高,这类木马利用IOT设备、路由器等设备漏洞进行攻击,其蠕虫式的传播特点也导致这些僵尸网络IP规模比传统IDC肉鸡产生数量级上的差异。
同时出现多个活跃的DDoS攻击平台,提供多种攻击类型的混合式DaaS服务吸引攻击者使用。其主要攻击手段之一的CC攻击,通过使用大带宽发包机,通过互联网匿名开放的HTTP/Socks代理发起7层CC攻击,监控到的QPS达到百万级别。这些团伙还会周期性攻击知名互联网公司平台成果,对外内展示其攻击破坏能力。
01
被“表象”迷惑多年的传统抗D
为了绕过防御,攻击者的手法花样百出:
借助恶意App控制海量移动终端成为攻击肉鸡,以获取大量攻击IP资源;
伪造请求头部信息,并通过加入部分正常流量降低攻击流量特征,混淆视听;
根据攻击目标业务所在区域,选择发起攻击的IP源;
为防止因高频请求被防御策略限速,通过海量恶意IP向关键业务接口发起低频请求;
……
DDoS攻击变化多端的变异手法,使得传统以“限速+区域封禁+黑白名单”为主的防御策略逐渐失效。传统抗D方案在设定好模板后后期需要依赖人工根据业务和攻击特征策进行调整。
随着被防护业务流量的类型和总量不断增加,传统的“千篇一律的默认防护模板+人工运营”的方式从防护效果和投入成本角度看,都存在极大的风险隐患,“一刀切”的处置手段往往难以在拦截效果和业务误伤取得平衡。
以上述提到的第二类场景伪造请求头信息为例,如下图,在对某支付接口的恶意请求中,URL内包含大量随机生成的参数和取值,传统防护模式很难从这些请求中定位恶意特征,增加防御难度
随着客户业务逐渐数字化,所面临的网络环境日趋复杂,类似上述这些针对性的攻击也愈发频繁。
02
洞察“本质”的智能防护
面对日趋复杂的攻击场景,阿里云DDoS防护在传统防护手段的基础上推陈出新,结合AI智能技术,从定义“黑”流量,转变为定义“白”流量,打造出“千人千面”的智能防护体系:从地理区域、访问频率、请求特征等多个维度,建立域名的业务画像,抓住“业务流量基线”的本质,实时监控异常流量和访问行为,因此无论攻击手法如何变异,只需要判断流量是否偏离业务画像,从而得出更加精准的判断,在第一时间进行动态处置。
“千人千面”的智能防护体系从根源上改变了传统DDoS防护需要人工对现有攻击进行分类,并定制专家策略进行防御的过程,面对多种多样的业务形态和频繁变化的攻击场景,具有更强的适应性和灵活性。
阿里云DDoS智能防御引擎以域名为粒度,对近百个HTTP/HTTPS标准头字段做多维度模型训练,如客户端维度,对不同引擎厂商、浏览器厂商、主版本号、子版本号等;积累了6万余个常见客户端的访问行为特性;通过对全网请求源的访问行为分析,得到了超过7100万个恶意IP,并可根据攻击态势、业务变动动态调整防御策略,真正做到“千人千面”。其中,对于API业务形态,通过历史基线自适应调整策略下发,避免下发JS挑战校验等只适用于网站业务的防护策略,防止正常业务误伤,精准防护API业务的CC攻击。
全局“非白”:跨域名全网识别各资产的正常访问行为特性,并建立资产库。若攻击时流量的访问行为不但偏离了域名基线,还未命中全网正常资产行为库,则优先处置,避免正常业务流量被误伤。
域名“非白”:在全网正常资产行为库的基础上,针对域名的正常业务行为进行适应性调整,建立域名粒度的资产库,避免特定类型的攻击流量到达源站;
动态“非白”:动态训练并更新域名的流量基线,攻击发生时,根据访问行为特性处置偏离基线的部分,避免恶意流量蒙混过关;
03
“千人千面”能力演进
四七层联动抵御大规模应用层资源耗尽型攻击
针对应用层大规模资源耗尽型攻击,阿里云推出四七层联动防御体系,通过基于七层攻击特征,形成恶意IP黑名单,直接下发到四层拉黑,以免在七层拦截对业务造成的压力,且四层处置更有效。
而且支持在事中通过四七层联动过滤和拉黑恶意IP,从传输层阻止后续的恶意请求;同时可根据攻击态势、业务变动动态调整防御策略,真正做到“千人千面”。
全局防护策略模板实现“零时延”防护体
已知类型攻击“零时延”防护。阿里云DDoS防护新增全局防护策略模板,基于海量历史攻防经验、并结合实时攻防态势,历史和当前CC攻击的恶意特征形成,对已知攻击类型可以直接下发防御策略,在业务整个生命周期提供“零时延”的防护体验,缓解传统防护机制中因策略生成和下发时延导致的攻击漏过问题;
未知新型攻击实时监测。DDoS智能防护引擎实时监测访问流量是否偏离正常业务流量基线,一旦发生异常,立即采取处置措施。
04
与云深度融合的原生智能
针对业务架构复杂,无法接入代理高防的业务,阿里云基于云原生架构优势,将智能防护能力完美移植到阿里云DDoS原生防护,客户不需要更换IP,即可提升防护能力,利用云端智能分析中心,覆盖阿里云上百万级IP,实时分析攻防效果情况,自动下发防护策略,防护复杂的大流量混合DDoS及应用层CC攻击。
优势一:非攻击不进清洗,防止误拦截正常业务请求
区别于传统厂商的清洗阈值模式,阿里云原生智能防护针对DDoS攻击检测,不单单依赖清洗阈值,更利用云上海量数据训练时间序列模型,建立阿里云全网IP流量基线画像,根据历史基线及实时相似度检测算法动态识别DDoS攻击,防止正常业务被误清洗。
示例:某客户云上IP清洗阈值1Gbps,但是正常业务流量存在波动,存在部分时间段超清洗阈值情况,在智能防护的保护下,非攻击导致的流量抖动及周期性波峰,都不会被误清洗。
优势二:智能适配DDoS及CC清洗策略,不换IP不换架构,云产品实现自动加固
由于DDoS复杂的攻击手法,默认的防护策略考虑到全网用户的业务情况,无法覆盖到所有的攻击手法,复杂攻击存在漏过风险,出现业务异常往往只能提工单或者专业人员分析攻击,手动在控制台调整防护策略,需要大量的分析时间和专业人员,往往在人工策略配置之前,业务已经异常。
阿里云原生智能防护利用云上串行防护新引擎优势支持了全网实时分析处置,自动监控到防护漏过,根据历史IP画像及攻击分析,智能下发精准的防护策略,防止业务应用异常或命中带宽限速导致业务受损。
示例:旁路防护引擎默认清洗策略复杂攻击存在漏过,智能检测到攻击漏过,1分钟内自动下发加强串行策略,漏过攻击全部被拦截
即使攻在暗,防在明
但若能洞察本质,便能精准制敌
阿里云安全助力客户
在DDoS这场古老对抗中立于不败之地
阿里云安全
国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。
2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。
阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。
作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。