GFIC2017—亞太CDN年會(huì)在全產(chǎn)業(yè)鏈同仁的支持下已經(jīng)勝利閉幕����。年會(huì)活動(dòng)邀請(qǐng)了中國信通院、網(wǎng)心科技����、云熵網(wǎng)絡(luò)、云帆加速����、平安科技、又拍云��、北京供銷大數(shù)據(jù)集團(tuán)�、騰訊云、雷鳥電視���、國廣東方���、鵬博士電信傳媒集團(tuán)�、CenturyLink��、CC視頻���、NTT�、京東云��、金山云��、蜻蜓FM�、視博云、PPTV聚力云�、美團(tuán)云、咪咕視訊�����、360企業(yè)安全集團(tuán)����、網(wǎng)易云����、綠盟科技�����、知道創(chuàng)宇��、北京椒圖科等出席會(huì)議���。本文將重點(diǎn)介紹GFIC2017—亞太CDN年會(huì)“高防云論壇”嘉賓核心觀點(diǎn)。
“高防云論壇”圍繞高防CDN和高防云平臺(tái)等議題���,探討網(wǎng)絡(luò)信息安全大背景下的高防云平臺(tái)的建設(shè)�����。出席本次圓桌論壇的有:北京椒圖科技有限公司VP李棟����、360安域產(chǎn)品研發(fā)經(jīng)理王梟卿����、網(wǎng)易信息安全部技術(shù)總監(jiān)沈明星�����、知道創(chuàng)宇安全顧問魏雅楠�。
網(wǎng)易沈明星:打造云清洗防護(hù)中心��,CDN與安防優(yōu)勢(shì)互補(bǔ)��。
沈明星介紹說���,網(wǎng)易正在搭建一個(gè)云的清洗防護(hù)中心����,涉及到一些關(guān)鍵指標(biāo)�,就是像用戶非常關(guān)鍵延時(shí),必然會(huì)在選擇高防節(jié)點(diǎn)的時(shí)候��,靠近自己的云和終端用戶�����。這樣做�,能夠更多的去減少網(wǎng)絡(luò)上的延遲,來保證用戶體驗(yàn)�。沈明星同時(shí)表示�,網(wǎng)易目前比較關(guān)注資源的隔離����,因?yàn)橐粋€(gè)云抗D的平臺(tái)或者一個(gè)清洗中心必然會(huì)接入大量的用戶。怎么樣保證各個(gè)用戶之間的業(yè)務(wù)是個(gè)難題�����,比如說某個(gè)用戶被攻擊會(huì)不會(huì)影響到其他用戶等���。為此,網(wǎng)易云易盾真正的做到了“隔離源頭”�����。他們會(huì)每一個(gè)用戶高防IP都會(huì)有一個(gè)獨(dú)立的定程�����,會(huì)做到一個(gè)自覺的隔離���,在網(wǎng)絡(luò)上用戶購買這個(gè)套餐���,網(wǎng)易會(huì)直接把IP直接拉黑�,保證網(wǎng)易整個(gè)平臺(tái)的安全�。
當(dāng)被問到在如何抗擊DDoS和CC的攻擊時(shí),沈明星認(rèn)為最重要的是工作經(jīng)驗(yàn)和顯示對(duì)抗的角度�。抗D這一塊是對(duì)資源���,出口帶寬一定要大�,自己設(shè)備一定要多����,這個(gè)純粹就是簡單粗暴,沒有資源根本抗不住�����。針對(duì)CC攻擊就是綿里藏針的一些攻擊���,更多的是比拼技術(shù)��,和數(shù)據(jù)的積累����,防CC的時(shí)候必然需要用戶的數(shù)據(jù)模型,需要信譽(yù)庫�����,像阿里和游戲盾這些也會(huì)用到一系列的技術(shù)��。
而對(duì)于當(dāng)下�,越來越多的CDN企業(yè)開始與安防企業(yè)進(jìn)行合作。沈明星認(rèn)為���,CDN和安防本身就存在著一些互補(bǔ)的優(yōu)勢(shì)�����。CDN的流量是進(jìn)少出多,DDoS就是進(jìn)多出少�����。國內(nèi)幾家CDN廠商���,像網(wǎng)宿他們也做這塊業(yè)務(wù)的����,CDN廠商也是看到了這塊的契機(jī)的,他們也是想做一些高防的節(jié)點(diǎn)�����,跟CDN結(jié)合DDoS防護(hù)的能力����。業(yè)務(wù)設(shè)計(jì)會(huì)把JS圖片直接放在CDN節(jié)點(diǎn)上,這就不需要回源到原件上的��,這種攻擊更多影響是CDN本身的業(yè)務(wù)�。沈明星認(rèn)為,從這個(gè)角度而言CDN的廠商對(duì)于保護(hù)自身而言也有防御工具的需求����。
360王梟卿:360度無死角的防護(hù),CDN如何與高防云配合無間���?
當(dāng)被問到“抗DDoS和抗CC攻擊中�����,最關(guān)鍵的是什么”時(shí)����,王梟卿認(rèn)為是資源。當(dāng)600G到700G的攻擊直接打到一個(gè)地方����,你的節(jié)點(diǎn)或者IDC出口帶寬如果小于這個(gè)數(shù)的話,基本上就是就沒法運(yùn)作���。運(yùn)營商IDC方面的話��,一般會(huì)采取的做法就是為了不影響其他業(yè)務(wù)而自保����,直接把你的節(jié)點(diǎn)服務(wù)IP丟進(jìn)黑洞���,解封完一般需要兩到三個(gè)小時(shí)��。如果所有節(jié)點(diǎn)都在這個(gè)規(guī)模以下�,要么就是全面掛掉����,要么放棄對(duì)客戶的防護(hù)����,就這兩種結(jié)果。這就是高防存在的原因,節(jié)點(diǎn)多做服務(wù)式的防護(hù)是一個(gè)優(yōu)勢(shì)�����,劣勢(shì)就是DNS的調(diào)度����,攻擊流量不一定跟的上,直接打節(jié)點(diǎn)的服務(wù)IP或者網(wǎng)端�����,這個(gè)我們都遇到過��,單節(jié)點(diǎn)帶寬至少就是對(duì)外部就是成為承諾防護(hù)能力的話��,承諾500G的話�����,最好是有500G以上的節(jié)點(diǎn)�,如果攻擊打到一個(gè)點(diǎn)確實(shí)承受不住。
王梟卿認(rèn)為�,本身防護(hù)系統(tǒng)的靈活性也能在很大程度上影響到抗DDoS的能力。 其次大家都知道的問題����,就是次之的一些問題�����,比如說規(guī)則策略的攻擊性�,DDoS是對(duì)抗性很強(qiáng)的攻擊�,比如說防控住之后,過個(gè)兩三分鐘����,四五分鐘,攻擊者那邊就停了����、調(diào)整攻擊的方式重新打,如果系統(tǒng)能夠自動(dòng)判斷最好的����,但當(dāng)出現(xiàn)系統(tǒng)不行的場景,這樣就需要認(rèn)為介入��,去配置去調(diào)整�����,那么你本身的防護(hù)系統(tǒng)的靈活性就包括你策略配置的靈活性有多高��,直接決定了你的防護(hù)相應(yīng)的延遲還有效果����,這是對(duì)于在這種抗D和CC里非常重要的兩個(gè)地方。
對(duì)于CDN與高防相結(jié)合�����。王梟卿認(rèn)為����,CDN就是分布式的存儲(chǔ),高防用分布式的方法來做�,其實(shí)的確具有更高的防護(hù)能力。確實(shí)就是說現(xiàn)在有很多的CDN的廠家���,那么就是說無論推出這個(gè)服務(wù)��,還是被動(dòng)的提供客戶��,本身中間CDN就有IP隱藏的作用�����,估計(jì)會(huì)得到CDN節(jié)點(diǎn)上�����,有一些CDN公司把這些東西作為服務(wù)推出來了�。
他認(rèn)為對(duì)于CDN客戶來說,在比較早的時(shí)候�,一般都會(huì)寫一些做好防護(hù)的承諾,不做保證�,如果像攻擊量不大,CDN檢測這一方也發(fā)現(xiàn)不了��,這個(gè)時(shí)候就相當(dāng)于默默用戶去承受的���,量大的話����,CDN公司��,本身在這擺著了��,客戶一個(gè)是復(fù)雜值還沒有那么高���,只是一個(gè)商業(yè)行為�����,同時(shí)的話也是會(huì)大量對(duì)于其他正常的用戶和業(yè)務(wù)的服務(wù)的話�,可能會(huì)采用一些回源的措施�����,但無論如何���,只要在自己能力范圍以內(nèi)�,其實(shí)如果把這個(gè)東西作為一項(xiàng)增值服務(wù)給客戶���,也會(huì)讓你的CDN節(jié)點(diǎn)更加有生機(jī)����、
椒圖科技VP 李棟:資源相互整合�,CC攻擊三重奏如何抵抗?
李棟認(rèn)為���,未來抗C或者抗D的重點(diǎn)是數(shù)據(jù)的共享�����,因?yàn)槊考业馁Y源都是有限的���,云鎖差不多有100萬的裝機(jī)量��,資源相互整合�,通過相關(guān)的提升�����,來抵抗這種能力�。
李棟指出,與DDoS攻擊不同���,CC攻擊主要是對(duì)服務(wù)器的內(nèi)存等占用��,CC攻擊的攻擊原理比較簡單�����,通過用一個(gè)IP向服務(wù)器發(fā)起數(shù)據(jù)庫請(qǐng)求��,在短時(shí)間內(nèi)占用大量的CPU包括內(nèi)存的資源��。常規(guī)的防CC攻擊有四種�,一個(gè)是硬件WAF,它現(xiàn)在是大企業(yè)的標(biāo)配��,優(yōu)點(diǎn)是部署非常方便��,本身是用硬件方式交付����,吞吐量比較高�,但缺點(diǎn)是價(jià)格昂貴,對(duì)于中小企業(yè)來說應(yīng)該是難以負(fù)擔(dān)的�����。另外�,硬件WAF需要明確的網(wǎng)絡(luò)邊界,不適合云環(huán)境���。椒圖之前遇到一個(gè)用戶購買大量的硬件����,在把業(yè)務(wù)遷移到云上����,又重新數(shù)據(jù)庫�����,過濾之后再接到里面�����,這種做法效率比較低�����。
椒圖抗CC攻擊產(chǎn)品有三重模式���,第一種模式是計(jì)數(shù),通過看請(qǐng)求次數(shù)���,用戶可以根據(jù)業(yè)務(wù)的實(shí)際情況進(jìn)行一個(gè)調(diào)整���,然后中間是一個(gè)反向驗(yàn)證,這個(gè)是高低模式�����,比較常用的模式。當(dāng)CC攻擊發(fā)生之后����,會(huì)有一個(gè)攻擊溯源,即攻擊發(fā)起包括攻擊的頁面���,給使用者修復(fù)漏洞一個(gè)依據(jù)���。
知道創(chuàng)宇魏雅楠:軍工級(jí)的高防���,首要資源是關(guān)鍵���,能否跟蹤并追查溯源?
魏雅楠認(rèn)為��,對(duì)于CC和DDos攻擊的首要資源很重要���,從攻防角度上也要進(jìn)行實(shí)時(shí)的跟蹤�,在日后追查溯源的時(shí)候能不能找到這個(gè)作惡者�����,魏雅楠認(rèn)為高防就像軍工,大型的行業(yè)�����,單純的打抗D只是終止業(yè)務(wù)終端��,如果敲詐的話�����,溯源就會(huì)起到作用�,在抗擊日志里查查還是非常重要的。
溯源�����,魏雅楠認(rèn)為現(xiàn)在業(yè)內(nèi)沒有哪家產(chǎn)品就是可以在很快速的在分鐘級(jí)或者分鐘級(jí)別內(nèi)把源頭抓到����。她覺得,安全工程師安全工作經(jīng)驗(yàn)是其中非常重要的一點(diǎn)�����,他們之前有過一個(gè)客戶是因?yàn)楸还袅?,也是攻擊者有馬甲作案��,但他們的安全工程師非常有經(jīng)驗(yàn)�,通過各個(gè)方面探查這個(gè)問題到底出在哪里���,最后一步一步的找到了惡意攻擊者�����,這樣整個(gè)分析過程下來也是在小時(shí)級(jí)別的�����,同樣她相信���,隨著未來的科學(xué)技術(shù)發(fā)展���,是可以達(dá)到相同的目的和效果的��。
最后�,對(duì)于未來安防領(lǐng)域的發(fā)展和知道創(chuàng)宇所做的貢獻(xiàn)�,魏雅楠談到,當(dāng)前許多企業(yè)都已經(jīng)開始意識(shí)到各類網(wǎng)絡(luò)攻擊對(duì)企業(yè)的危害��,但一直苦于無法解決,企業(yè)的安全問題已經(jīng)成了企業(yè)運(yùn)作的一大痛點(diǎn)����。而其中最嚴(yán)重的要數(shù)信息泄露、入侵被黑�、流量劫持、黑色暗鏈四大安全問題�����。針對(duì)這些問題��,企業(yè)應(yīng)當(dāng)如何解決呢���?”魏雅楠分析到:“保護(hù)企業(yè)網(wǎng)站業(yè)務(wù)安全運(yùn)行生命周期可以通過KSA滲透測試從保護(hù)��、檢測���、修復(fù)三方面形成閉環(huán),從業(yè)務(wù)系統(tǒng)滲透挖掘高級(jí)威脅防御�����,從而進(jìn)行積極防御����,最后針對(duì)企業(yè)提出安全管理建議��。”
微信掃一掃
