2020年11月,阿裡雲安全成功抵禦了史上檢測到的最大規模資源耗盡型DDoS攻擊(又稱CC攻擊),峰值高達536.9萬QPS。攻擊者利用數萬真實殭屍電腦,模拟高計算資源消耗型的正常HTTP/HTTPS請求,時間持續月餘,攻擊複雜度極高。
阿裡雲保障客戶無感覺,業務無誤傷。
本文将展示目前此類攻擊的趨勢走向,并拆解阿裡雲DDoS智能防禦引擎能夠快速精準阻斷攻擊的背後原理。
1. 事件還原
時間:
·10月左右開始出現
·雙11期間攻擊頻率和強度陡增
目标:
·電商和遊戲行業,API支付接口為主
攻擊手法:
·攻擊特征字段采用亂碼字元(如²»ÊÓÃ)和随機字元填充;
·數萬殭屍電腦,平均每個被控制殭屍電腦發起的攻擊頻率小于50QPS;
·大量使用動态IP位址(秒撥),殭屍電腦源IP頻繁變化,多次攻擊之間的IP重合度小于30%;
·攻擊流量95%源自國内,無地緣聚集性,與業務來源地一緻或相近。
在本事件中,亂碼字元和随機字元使得手工配置的特征比對政策失效,而頻繁更換的殭屍電腦源IP則大大削弱了IP封禁防禦方法的威力。分辨被控主機和正常業務通路使用者的難度陡然提升。
2.攻擊者畫像
在過去的一年中,我們發現此類攻擊無論在攻擊強度、還是在攻擊複雜度,已邁入新台階。
· 更狡猾
目前,資源耗盡型DDoS攻擊開始出現如下特征:控制數萬甚至數十萬級别的真實殭屍電腦,其IP池動态變化,與正常使用者重合;攻擊手法多采用自動化架構進行請求僞造且随機分布,通過真實浏覽器發起攻擊,或攻擊業務類型為API/原生APP的網站。
使用者的業務是多樣的,一刀切的防護模闆極為寬松,其結果必然是防護力度差。
· 更兇猛
根據阿裡雲觀測資料,從2019年11月起,資源耗盡型DDoS攻擊的峰值已增長近5倍,并創下了536.9萬QPS的曆史新高。
高難度的攻擊識别,以往隻能通過安全專家人工判斷補足。他們需要根據不同的業務類型,細粒度制定防護模闆,再根據攻擊強度,手工調整政策。而日趨複雜的攻擊手法疊加不斷增長的流量峰值,迫使人工專家陷入了兩難局面:配置低維政策可以盡快恢複業務,但誤傷也會更大;堅持多元分析,則可能導緻更長的業務停滞時間。
次元越少,誤傷越高
倘若單一次元會有10%的誤傷,
那麼:
· 1維組合誤傷趨向于:10%
· 2維組合誤傷趨向于:1%
10% * 10%
· 3維組合誤傷趨向于:0.1%
10% 10% 10%
……
次元越多,業務停滞越久
假設:常用HTTP Header 20個(實際更多),單一次元分析耗時15S(飛速),
· 1維分析工作量:5分鐘
20個 * 15S/個 = 300S
· 2維分析工作量:1小時40分鐘
300S + (19+18+……+1)個 * 30S/個 = 6000S
· 3維分析工作量:20小時40分鐘
6000S + 20C3 個 * 60S/個 = 74400S
……
3.阿裡雲的防禦之道
· AI引擎 + 雲原生 = 千人千面防禦政策
如何讓每個使用者都擁有專屬的防禦專家,并且更快更準?
阿裡雲DDoS高防産品融入了應用AI技術的DDoS智能防禦引擎,基于雲上威脅情報庫和海量業務類型,先天具備對各類業務特征的先驗知識,并基于細粒度機器學習模型,可以定義每個域名的“白”流量,進而更好剔除“黑”流量。
以域名為粒度,對近百個HTTP/HTTPS标準頭字段做多元度模型訓練,如用戶端次元,對不同引擎廠商、浏覽器廠商、主版本号、子版本号等,阿裡雲DDoS智能防禦引擎積累了6萬餘個常見用戶端的通路行為特性。
通過對全網請求源的通路行為分析,得到了超過7100萬個惡意IP,并可根據攻擊态勢、業務變動動态調整防禦政策,真正做到“千人千面”。
動态“非白”
動态訓練并更新域名的流量基線,攻擊發生時,根據通路行為特性處置偏離基線的部分,避免惡意流量蒙混過關;
全局“非白”
跨域名全網識别各資産的正常通路行為特性,并建立資産庫。若攻擊時流量的通路行為不但偏離了域名基線,還未命中全網正常資産行為庫,則優先處置,避免正常業務流量被誤傷。
作為基于雲計算資源的高防産品,阿裡雲DDoS防禦天然具備彈性擴容特性,且應用層DDoS攻擊防護期間的彈性擴容作為本身功能的一部分,無需使用者額外支付費用。得益于與基礎設施的深度綁定,阿裡雲更擅長集合全網威脅情報,建構從日志采集,到計算分析,再到線上引擎政策更新的體系化防護,能夠迅速應對變異攻擊。
· 高等級防護能力,防護多樣業務類型
在攻擊手段不斷變化的今天,企業需要更加高效的DDoS防護方案。特别是電商、遊戲等因為業務邏輯複雜,更容易受到資源耗盡型攻擊的行業,智能防護引擎之外,清洗資源、對業務類型的支援同樣重要。
通過在全球建設DDoS清洗中心,阿裡雲建構了總帶寬超過10Tbps的BGP防護網絡,支援從網絡層/傳輸層(L3/4)到應用層(L7)DDoS攻擊的防護,可滿足源站保護、源站減負等需求。
內建輕量級SDK,在APP業務防護方面阿裡雲可做到:基于用戶端環境資訊的聚類排程算法,秒級響應,精準定位攻擊者并主動隔離;相容所有基于TCP的遊戲協定,通過加密傳輸解決遊戲協定安全性問題;配合SDK智能網絡排程,實作全球網絡優化;同時提供用戶端運作環境風險識别能力(裝置指紋、運作環境監測、流量行為标簽等),為移動端業務的風險控制提供基礎資料支援,更好保護雲上使用者。
第三方認可
· DDoS防禦産品在大中華區市場佔有率第一,營收首超傳統廠商
(來源:Frost & Sullivan 2020)
· DDoS攻擊防護平台和雲解析DNS入選工信部推薦的網絡安全公共服務平台
戳連結了解相關産品資訊
https://www.aliyun.com/product/security/ddos?spm=5176.13076100.J_8058803260.157.78cd21e7Z6MPwI