一、DDoS趨勢的一些變化
從今年3月份起,世界上最大的DDoS攻擊記錄到了1.7 Tbps,是一個普通家庭帶寬出口的數十萬倍,幾乎可以橫掃網際網路,作為一個生存了20年之久的古老攻擊形式,我們看到了今年來DDoS攻擊量成指數級攀升,不僅沒有出現頹勢,反而愈演愈烈。随着物聯網的發展,數以億計的IoT無辜的成為了DDoS攻擊的”幫兇”,這給網際網路的創業者帶來了無比的創業壓力,一方是如洪水般的DDoS攻擊,一方是普通的網絡出口帶寬,今天網際網路的DDoS攻擊已經昭示了一個不得不令人悲觀的事實,普通的企業根本不可能抵禦住海量的DDoS攻擊,這是一場無法單靠拼技術就能打赢的戰役。
1.1 DDoS攻擊的成本究竟有多高
美國雲安全技術服務公司Armor釋出的一份報告揭示了暗網上針對各種網絡犯罪相關服務實施的價格标準。該報告是通過搜羅數個知名的暗網市場資料總結出來的。據報告顯示,黑客可以用10美元/小時、200美元/天的價格或者500—1200美元/周的價格租用DDoS攻擊。
資料來源:freebuf
另外,從搜尋引擎上也可以搜到很多類似的攻擊平台,DDoS攻擊即服務,黑客跑的一點也不慢。
1.2DDoS防禦為什麼這麼貴
衆所周知,防禦海量的DDoS攻擊,就必須要有海量的防禦帶寬,我們經常看到很多的客戶提問說,主機上看到的惡意DDoS的IP是否可以用安全組或者軟體防火牆封禁掉,也有客戶提到,為什麼阿裡雲在網絡入口不能封禁掉這些攻擊的IP。理論上,隻要帶寬足夠,這樣做是可以起到效果的,但實際上客戶購買的主機帶寬很小,單純的用主機防火牆或者安全組隻能過濾掉比帶寬小的流量,一旦帶寬被占滿,那麼這些封禁政策都将無法工作。DDoS攻擊就像洪水一樣必須要在入口處有堅固的堤壩,僅靠家門口的籬笆是無法阻擋住洪水的。
DDoS防禦的主要成本是帶寬、機房資源、伺服器和清洗裝置,這些都屬于重資産資源,目前業界幾種産品形态分别存在于營運商、雲廠商、CDN廠商或者是IDC機房中,但是由于各自的服務模式、商業模式、技術和産品形态的不一樣,在防禦的時候原理會有一些差別,但是無論什麼形态,都離不開前文所提到的這些資源。DDoS攻防不對等的主要原因在于防禦廠商的這些資源必須是常備資源,以1個百G機房為例,一年的建設成本可能就需要上千萬人民币,這還不算專業的服務人員和研發人員。随着全網提速降費和殭屍電腦資源增多,這種狀況隻會越來越加劇。
**二、上雲後的DDoS防禦最佳實踐
**
依據防禦能力的不同,阿裡雲上有不同的産品形态可以供使用者選擇,在企業上雲的不同階段,面臨的威脅不同,也可以選用不同的防禦産品來建構自身的安全體系,如下是阿裡雲DDoS防禦産品矩陣圖。
2.1DDoS基礎防護
雲産品預設自帶的防禦能力,針對海量客戶提供500M-5G的免費抗D能力,加入安全信譽聯盟之後,可以累積信譽值,獲得比5G更高的能力(限次)。
2.2DDoS防護包
提供比5G更高的增值防禦能力,使用者可以不改變任何配置,直接提升雲産品的防禦能力,部署簡單友善。
2.3DDoS高防IP(BGP多線)
針對海量DDoS攻擊的場景,需要把流量引入大流量清洗中心清洗,清洗完之後送回使用者的主機,相較與業界産品,阿裡雲使用者可以享受到專線回源,獨享海量防禦帶寬的優勢。
2.4遊戲盾
針對攻擊的重災區遊戲行業推出的端到端到無上限防禦方案,防禦DDoS攻擊,CC攻擊,遊戲連接配接性攻擊等各種複雜攻擊,提供按照業務規模收費的成長性服務機制。
**三、探索抗D服務的幾個發展方向
3.1不設上限防禦服務
如今,一般的雲廠商都具備了上T的防禦能力,營運商也在逐漸開放一些能力,防禦方的實力大大增強,我們已經觀察到了國外有廠商開始提供這種“unlimited”的服務,盡最大能力防護,意味着不再給使用者設定防禦上限,盡力防護到機房水位線為止,這種新的計費模式,充分發揮了雲的規模化優勢,使得客戶的防禦成本大大降低,也減少了客戶付費之後還被打進“黑洞”的風險。
3.2貼近業務,更具備成長性
遭受DDoS攻擊的企業,一般還是以中小企業為主,目前DDoS防禦的手段多以攻擊流量的大小來進行收費。但是,1.7T的攻擊出來之後,一般的企業基本上無法付費防住這麼大的攻擊,是以面對中小企業,按照業務價值大小付費的模式逐漸發展起來。今年以來,遊戲盾也在進行這方面的嘗試,阿裡雲推出了基于客戶業務日活數量來計費的服務,目前已經在内測申請階段,内測連結
https://promotion.aliyun.com/ntms/act/gameshieldinfinite.html。
3.3更快更穩的網絡品質
抗D服務是一種應急類的安全産品,在出現攻擊的時候,需要用最快的反應時間來防禦住攻擊,是以客戶一般會常态化的将業務跑在高防機房裡。高可用的網絡品質也是一個考慮因素。為什麼高防的成本如此之高,其實主要看廠商将成本投向了哪個方面,如果是采用昂貴的BGP帶寬的話,那基本上是目前國内最好的帶寬了,再配合上雲上的專線回源,可以讓要求苛刻的遊戲業務的體驗做到極緻。
3.4資料與可視化**
另外一方面,随着DDoS攻擊的不斷發展,其攻擊手段越來越複雜。在海量DDoS攻擊發生的時候,完整的記錄下攻擊的詳細日志,形成快速有效的實時分析資料,相比很多連控制台都不完整的IDC高防,這種“看見”的能力越來越成為雲廠商的優勢。今年,阿裡雲打造了全新的實時資料系統,能讓使用者看見更多的威脅,并且阿裡雲的全量攻擊日志追溯可以讓客戶看到過去發生的攻擊的詳細資訊。
四、對于DDoS終局的一些思考**
這幾年,我們發現無論是攻擊手段的翻新還是防禦廠商的增多,整個市場似乎出現了非常火熱的現象,這其實跟整個網際網路環境的變化息息相關。諸多防禦廠商的湧入帶來的一個好處是更多的資源湧入防禦方,使得大部分客戶都能找到符合自己需求的産品。未來會有更多的廠商加入進來,雲服務廠商已經将抗D服務作為一個基礎的門檻産品,沒有抗D服務就沒有穩定的雲服務。
就任何一種攻擊而言,沒有攻擊就沒有防禦。我們相信,隻要網際網路還存在,DDoS攻擊就不會消失。當5T、10T的攻擊來臨的時候,也許隻有所有的廠商聯合起來,才能真正打赢這場戰役。
這一切,還隻是剛剛開始。