日志審計攜手DDoS防護助力雲上安全
1 背景介紹
設想一下,此時你正在高速公路上開車去上班,路上還有其他汽車,總體而言,大家都按照清晰的合法速度平穩駕駛,當你接近入口坡道的時候,會有更多的車輛加入,然後入口處的車輛越來越多,越來越多,直到所有的交通都慢了下來,最後原來的通行入口拒絕了所有車輛的通過請求。若把通行入口比作伺服器的某些資源,那麼這就是現實中的一種DDoS案例。
1.1 DDoS攻擊
那麼什麼是DDoS呢?分布式拒絕服務(Distributed Denial of Service,簡稱DDoS) 是指多台計算機聯合起來通過惡意程式對一個或多個目标發起攻擊,進而影響計算機的性能或消耗網絡帶寬,使原目标伺服器無法提供正常服務1。當目标伺服器受到DDoS攻擊影響後,帶來的不僅僅是巨大的經濟利益損失,甚至很可能造成核心資料的洩漏,是以對DDoS進行防護就非常有必要。
圖1 2020.10.10 各個國家遭受DDOS攻擊
https://www.digitalattackmap.com/1.2 日志審計服務
日志審計服務是在繼承現有日志服務所有功能外,還支援多賬戶下實時自動化、中心化采集雲産品日志并進行審計,以及支援審計所需的存儲、查詢及資訊彙總。将DDoS防護和日志審計結合起來使用,可以幫助使用者更清晰的掌握實時DDoS防護情況,也可以對已有防護事件進行回溯和複盤,進而更好地保障使用者安全體驗。目前日志審計已支援多種雲産品,本文主要介紹日志審計結合DDoS防護助力雲上安全。
2 DDOS防護
2.1 DDoS攻擊案例
每一台網絡中的伺服器都有可能受到DDoS攻擊。根據F5 labs的2020 DDoS攻擊趨勢報告2,受到最多的攻擊行業有教育、金融、遊戲、技術、電信等,但這并不意味其他行業就是絕對安全的,因為發起DDoS攻擊對于潛在的黑客來說,有非常低的準入門檻,不僅Youtube上有大量建立僵屍網絡的教程,DDoS出租服務也為哪些希望從零發起攻擊的人提供非常低廉的價格。下面我們來看看迄今為止,五大著名的DDoS攻擊案例3。
- 2017年,谷歌遭受DDoS攻擊。根據谷歌安全分析小組在2020年10月16日公布的關于威脅和威脅因子的一篇部落格,谷歌安全可靠性團隊在2017年檢測到破紀錄的UDP放大攻擊,其bps峰值達2.5T。
- 2020年2月,AWS遭受了一次巨大的DDoS攻擊,攻擊持續3天,帶寬達到每秒2.3TB,攻擊者利用CLDAP(Connectionless Lightweight Directory Access Protocal)反射技術,該技術依賴于易受攻擊的第三方伺服器,并将發送到受害者IP位址的資料量放大56-70倍。
- 2016年Brian Kerbs 和OVH 遭受DDoS攻擊。Brian Kerbs是著名的安全專家,其部落格自2012年就經受各種攻擊的考驗,然而2016年9月20日的攻擊比他所有曾經遭受的攻擊的三倍還要多。攻擊源是Mirai僵屍網絡控制的約60萬台的IoT裝置,例如IP相機,家庭路由等等。 Mirai在9月還攻擊了另一個OVH公司,OVH是歐洲最大的網絡托管服務供應商。
- 2016年 9月30日,Mirai的作者在論壇上釋出了其源代碼,并随後被複制成各種各樣的版本,2016年10月21日,主要DNS服務商Dyn遭到每秒1TB的流量泛洪攻擊,影響了包括Github、HBO、Twitter、Nexflix等知名網站的通路。
- 2018年2月28日,github遭受了每秒1.35Tb的DDoS攻擊,攻擊時長達約20分鐘,即使Github早就為DDoS做好的充分準備,但是他們的DDoS防護對于此流量的攻擊還是顯得有些力不從心。
2.2 DDoS防護手段
若要緩解 DDoS 攻擊,關鍵在于區分正常流量與攻擊流量。例如,如果因釋出某款新品導緻公司網站湧入大批熱情客戶,那麼全面切斷流量是錯誤之舉。如果公司從已知惡意使用者處收到突然激增的流量,那麼則需要努力對抗攻擊。在現代網際網路中,DDoS 流量的形式和設計五花八門,從非欺騙性單源攻擊到複雜的自适應多方位攻擊無所不有。
黑洞政策就是指當阿裡雲公網IP資産受到大流量DDoS攻擊,其峰值帶寬bps超過DDoS的防禦能力時,資産IP會進入黑洞狀态,即屏蔽IP所有in的網際網路流量,黑洞狀态可以自動解封(當達到預設解封時間後),也支援提前手動解封(DDoS原生企業版以及高防新bgp版)。但這不是理想的解決方案,因為它相當于讓攻擊者達成預期的目的,使正常流量也無法通路。
限制伺服器在某個時間段接收的請求數量也是防護拒絕服務攻擊的一種方法。雖然速率限制對于減緩 Web 爬蟲竊取内容及防護暴力破解攻擊很有幫助,但僅靠速率限制可能不足以有效應對複雜的 DDoS 攻擊。然而,在高效 DDoS 防護政策中,速率限制不失為一種有效手段。
一般而言,攻擊越複雜,越難以區分攻擊流量與正常流量,因為攻擊者的目标是盡可能混入正常流量,進而盡量減弱緩解成效。流量清洗就是将流量從原始路徑重定向到清洗裝置,對IP成分進行異常檢測,并對最終到達server的流量實施限流,這是進階防護中一種比較常見的防護方式。
2.3 DDoS攻擊類型
多方位 的DDoS 攻擊采用多種攻擊手段,以期通過不同的方式擊垮目标,分散各個層級的防護工作注意力。同時針對協定堆棧的多個層級(如 DNS 放大(針對第 3/4 層)外加 HTTP泛洪(針對第 7 層))發動攻擊就是多方位 DDoS 攻擊的一個典型例子。下表是幾種典型的DDoS攻擊類型的具體描述4。
| 表1 DDoS 攻擊類型 | ||
| DDoS 攻擊分類 | 攻擊子類 | 描述 |
| 畸形封包 | FragFlood、Smurf、StreamFlood、LandFlood、IP畸形,TCP畸形,UDP畸形封包等 | 向target發送有缺陷的IP封包,target處理時會崩潰 |
| 傳輸層DDoS攻擊 | SynFlood、AckFlood、UDPFlood、ICMPFlood、RstFlood | 例SynFlood,利用TCP三向交握機制,server收到syn請求後,需要使用一個監聽隊列儲存連接配接一段時間,是以通過向sever不斷發送syn請求,但不響應syn+ack封包,進而消耗服務端的監聽隊列。 |
| DNS DDoS攻擊 | DNS Request Flood,DNS Response Flood, 虛假源+真實源DNS Query Flood,權威伺服器攻擊和local 伺服器攻擊等 | 例DNS Query Flood,多台傀儡機同時發起海量域名查詢請求,造成sever無法響應 |
| 連接配接型DDoS攻擊 | TCP慢速連接配接攻擊,連接配接耗盡攻擊,loic,hoic,slowloris,pyloris,xoic等 | 例slowloris,利用http協定的特性,http請求以\r\n\r\n 辨別headers的結束,如果web服務端隻收到\r\n 則認為http headers 還未結束,将保留該連接配接并等待後續請求,這樣造成連接配接一直沒法關閉,連接配接并發性達到上限後,即使受到新的http請求也沒法建立連接配接 |
| Web 應用層DDoS攻擊 | Http Get Flood,HttpPost Flood, CC | 完全模拟使用者請求,類似搜尋引擎和爬蟲,消耗後端資源,包括web響應時間,資料庫服務,磁盤讀寫等。例如刷票軟體就是CC攻擊 |
2.4 雲上安全方案
針對DDoS攻擊,阿裡雲建議使用者從以下幾個方面着手降低DDoS的威脅:
| 表2 雲上安全方案概覽 | |||
| 減少暴露,資源隔離 | 彈性伸縮和災備切換 | 監控和告警 | 商業安全方案 |
| 1.減少服務端口暴露,配置安全組; 2.使用專有網絡VPC (virtual private cloud); | 1.定期壓測,評估業務吞吐能力, 提供餘量帶寬; 2.SLB(Server Load Balancer)降低單伺服器負載壓力,多點并發; 3. 彈性伸縮(Auto Scaling)資源管理; 4.優化DNS解析; | 1.配置告警; 2.雲監控; 3.應急預案; | 1.Web 應用防護牆(WAF); 2.DDoS 原生防護; 3.DDoS 進階防護; 4.遊戲盾; |
圖2 雲上安全方案概覽
2.5 DDoS防護産品
針對DDoS攻擊,阿裡雲推出了一些商業安全方案,比如DDoS防護就有原生防護和進階防護等防護産品,其中原生防護(Anti-DDoS origin)又有基礎版和企業版本。阿裡雲公網雲服務(ECS,SLB,EIP)預設支援DDoS原生防護基礎版,相較企業版,基礎版不算“産品”,不具有執行個體概念,而企業版主要優勢在于可根據實時機房網絡整體水位,進行全力防護。DDoS高防産品又分為新BGP版(Anti-DDoS Pro)和國際版(Anti-DDoS Premium),此外還有遊戲盾等産品。日志審計目前最新支援DDoS原生防護、DDoS高防(新BGP)版,DDoS高防(國際)版,可以在前端控制台開啟采集授權。
圖3 DDoS防護産品類别
DDoS防護的具體使用方法和最佳實踐請參考官方網站。下面簡單介紹一下原生防護和高防(新BGP)和高防(國際)三個産品。
2.5.1 原生防護
DDoS原生防護通過在阿裡雲機房出口處建設DDoS攻擊檢測及清洗系統,直接将防禦能力加載到雲産品上,以被動清洗為主,主動壓制為輔的方式,實作DDoS攻擊防護,推薦結合WAF一起使用,防護效果更佳。
圖4 DDoS 原生防護工作原理
2.5.2 高防(新BGP)版
圖5 DDoS 進階防護架構設計
DDoS高防通過DNS解析和IP直接指向引流到阿裡雲高防網絡機房,在高防清洗中心清洗過濾,抵禦流量型和資源耗費型攻擊。
圖6 DDoS高防(新BGP)工作原理
BGP(Broder GateWay Protocol)協定的最主要功能在于控制路由的傳播和選擇最好的路由。高防新BGP版主要适用業務伺服器部署在中國内地的場景,中國内地T極八線BGP帶寬資源,可幫助業務抵禦超大流量DDoS攻擊。
2.5.3 高防(國際)版
國際版主要适用業務服務部署在中國内地以外的地域場景,為接入防護的業務提供不設上限的DDoS全力防護。
圖7 DDoS高防(國際)工作原理
Anycast是一種網絡位址和路由通信方式。通路Anycast位址的封包可以被路由到該Anycast位址辨別的一組特定的伺服器主機。DDoS高防(國際)采用Anycast方式将接收到的流量路由到距離最近(路由跳數最少)且擁有防護能力的清洗中心。
3 日志審計下的DDoS防護
日志審計作為阿裡雲日志服務SLS(Simple Log Service)下的一款産品,主要是通過日志審計功能對旗下的雲産品的進行多賬号,跨域聚合,統計,分析,可視化等5。下面将主要介紹日志審計對DDoS三種防護産品的支援。
3.1 采集DDoS防護日志
在
SLS日志審計頁面開通DDoS 防護 下的産品采集授權:
圖8 日志審計新增DDoS防護産品支援
3.2 檢視DDoS防護日志
開啟授權賬号下的DDoS防護的采集後,點選project進入名為ddos_log的logstore,可以對近期的DDoS防護日志做出全面掌控。假設使用者同時開通了賬号下對DDoS原生防護,DDoS高防(新BGP),DDoS高防(國際)日志的采集授權,可以分别對應topic為ddosbgp_access_log, ddoscoo_access_log, ddosdip_access_log進行過濾檢視。
| 表3:ddos_log | |
| __topic__ | 防護産品 |
| ddos_bgp_access_log | DDoS原生防護 |
| ddos_coo_access_log | DDoS高防(新BGP) |
| ddos_dip_access_log | DDoS高防(國際) |
3.2.1 DDoS原生日志
圖9 原生防護的日志
3.2.2 DDoS高防新BGP日志
圖10 高防(新bgp)日志
3.2.3 DDoS高防國際日志
圖11 高防(國際)日志
3.3 豐富的Dashboard
此外,日志審計對于DDoS也支援豐富的儀表盤功能。
3.3.1 原生防護事件報表及清洗報表
圖12 今日DDoS黑洞事件1次和清洗事件2次
圖13 本月DDoS黑洞事件和清洗事件趨勢清單
此外,原生清洗報表還包括in流量監控,in流量分布,in流量協定類型分布,包檢查,sync cookie,首包檢查,L7filter,L4filter,AntiTDP,AntiUDP等報表展示。
3.3.2 DDoS高防(新BGP)通路中心與營運中心
高防通路中心和營運中心包含大量預設的模闆dashboard,如下圖所示。
圖14 高防新BGP通路中心1
圖15 高防新BGP通路中心2
圖16 高防新BGD營運中心
3.3.3 DDoS高防(國際)通路中心與營運中心
圖17 高防國際通路中心1
圖18 高防國際通路中心2
圖19 高防國際營運中心
4 審計+防護的最佳實踐
接下來,我們将以DDoS高防(新BGP)的防護例子為大家展示DDoS防護結合日志審計的最佳實踐。
4.1 實踐準備
首先,在個人日志審計中心APP開啟DDoS高防(新BGP)采集授權,然後在DDoS防護頁面,将之前準備好的域名***.com接入,配置好關聯高防IP位址,以及具體的防護設定。
4.1.1 添加域名接入
圖20 DDoS高防配置域名接入
4.1.2 設定防護規則
在這裡我們通過頻率控制的手段,通過編輯具體的防護規則,對該域名下某一具體URL進行防護。頻率控制防護開啟後自動生效,預設使用正常防護模式,幫助網站防禦一般的CC攻擊。這裡我們假定在檢測時長5秒内,允許單個源IP通路被防護位址/test URL的次數為2次,超過次數将封禁1分鐘。
圖21 通過頻率控制防護規則
4.2 實踐對比
4.2.1 通路對比
對于該域名下具體URL:/test和/welcome ,對/test開啟了防護規則設定,對/welcome沒有任何限制。可以看到雖然/welcome在伺服器中并不存在,但是/test頁面則直接被阻隔在網站之外。
圖22 發起通路請求
4.2.2 日志對照
在日志審計DDoS裡檢視具體的DDoS日志,可以看到通路/welcome,cc_block字段為0,也就是False,是以可視為正常流量,而通路/test,cc_block 字段為1,即True,也就是說明DDoS防護将其視作CC攻擊。
圖23 檢視防護日志
4.2.3 儀表盤觀測
我們将通過審計下面DDoS高防(新BGP)營運中心的儀表盤對剛才的事件進行更直覺的複盤,
首先,我們将觀測時間設為較短的相對時間5分鐘,此時沒有使用者請求,即無正常流量也無攻擊流量。
圖24 原始營運中心
然後我們通路該接入域名下的/welcome頁面,此時請求數為1,可以觀測到客戶網站出現了有效流量。
圖25 有效流量示意
接下來通路/test頁面,可以看到該通路被判定為攻擊流量,并沒有流入客戶網站,而是被拿來丢棄與分析,此時的攻擊者概況表格中,出現了攻擊者具體IP源以及攻擊次數等資訊。
圖26 攻擊流量示意
通過上述簡單的實踐過程,相信對大家了解日志審計和DDoS結合使用的效果有較直覺的感受,若想知道更多的細節,可以參考下面的連結。