开发者社区> 云安全专家> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云智能抗D原理及实践

简介: 干货秘籍👉👉👉
+关注继续查看

DDoS攻防已经从单纯的资源比拼演进成竞技battle。

攻击者为了绕过防御措施,伪装自己(CC攻击)、低频扫射、EDoS…

然而万变不离其宗,透过现象看本质,一定会发现那个伪装者。


2500万超大QPS

2022年2月,阿里云安全成功防御一起针对海外目标发起的CC攻击,攻击峰值达到2582万 QPS,是去年的2.8倍,为迄今为止阿里云观察到的最大流量CC攻击。


通过在底层对流量进行处置,避免海量应用层流量到达源站,阿里云成功保障客户业务正常运转。

image.png


1100万恶意IP

2022年6月,阿里云安全成功防御一起针对客户海外业务的CC攻击,事后统计参与攻击的单日IP去重数量高达270万。该客户业务被持续攻击数天,据不完全统计,参与攻击的总IP数到达1104万,且攻击仍然在持续。


该次攻击的特点是“多IP+低QPS”,通过海量新建连接对服务器造成极大压力。经过分析,推测本次攻击发起自移动端设备上安装的恶意App,被阿里云高防的全局防护策略和四七层联动成功拦截,第一时间保障客户业务的正常运行。

image.png

僵尸网络异常活跃

阿里云安全近期监测发现,近期多个活跃的Mirai及其变种家族,中控下发攻击频率增高,这类木马利用IOT设备、路由器等设备漏洞进行攻击,其蠕虫式的传播特点也导致这些僵尸网络IP规模比传统IDC肉鸡产生数量级上的差异。


同时出现多个活跃的DDoS攻击平台,提供多种攻击类型的混合式DaaS服务吸引攻击者使用。其主要攻击手段之一的CC攻击,通过使用大带宽发包机,通过互联网匿名开放的HTTP/Socks代理发起7层CC攻击,监控到的QPS达到百万级别。这些团伙还会周期性攻击知名互联网公司平台成果,对外内展示其攻击破坏能力。

被“表象”迷惑多年的传统抗D

为了绕过防御,攻击者的手法花样百出:


  • 借助恶意App控制海量移动终端成为攻击肉鸡,以获取大量攻击IP资源;
  • 伪造请求头部信息,并通过加入部分正常流量降低攻击流量特征,混淆视听;
  • 根据攻击目标业务所在区域,选择发起攻击的IP源;
  • 为防止因高频请求被防御策略限速,通过海量恶意IP向关键业务接口发起低频请求;
  • ……


DDoS攻击变化多端的变异手法,使得传统以“限速+区域封禁+黑白名单”为主的防御策略逐渐失效。传统抗D方案在设定好模板后后期需要依赖人工根据业务和攻击特征策进行调整。


随着被防护业务流量的类型和总量不断增加,传统的“千篇一律的默认防护模板+人工运营”的方式从防护效果和投入成本角度看,都存在极大的风险隐患,“一刀切”的处置手段往往难以在拦截效果和业务误伤取得平衡。

image.png

以上述提到的第二类场景伪造请求头信息为例,如下图,在对某支付接口的恶意请求中,URL内包含大量随机生成的参数和取值,传统防护模式很难从这些请求中定位恶意特征,增加防御难度


随着客户业务逐渐数字化,所面临的网络环境日趋复杂,类似上述这些针对性的攻击也愈发频繁。

image.png

洞察“本质”的智能防护


面对日趋复杂的攻击场景,阿里云DDoS防护在传统防护手段的基础上推陈出新,结合AI智能技术,从定义“黑”流量,转变为定义“白”流量,打造出“千人千面”的智能防护体系:从地理区域、访问频率、请求特征等多个维度,建立域名的业务画像,抓住“业务流量基线”的本质,实时监控异常流量和访问行为,因此无论攻击手法如何变异,只需要判断流量是否偏离业务画像,从而得出更加精准的判断,在第一时间进行动态处置。


“千人千面”的智能防护体系从根源上改变了传统DDoS防护需要人工对现有攻击进行分类,并定制专家策略进行防御的过程,面对多种多样的业务形态和频繁变化的攻击场景,具有更强的适应性和灵活性。

image.png

阿里云DDoS智能防御引擎以域名为粒度,对近百个HTTP/HTTPS标准头字段做多维度模型训练,如客户端维度,对不同引擎厂商、浏览器厂商、主版本号、子版本号等;积累了6万余个常见客户端的访问行为特性;通过对全网请求源的访问行为分析,得到了超过7100万个恶意IP,并可根据攻击态势、业务变动动态调整防御策略,真正做到“千人千面”。其中,对于API业务形态,通过历史基线自适应调整策略下发,避免下发JS挑战校验等只适用于网站业务的防护策略,防止正常业务误伤,精准防护API业务的CC攻击。


  • 全局“非白”:跨域名全网识别各资产的正常访问行为特性,并建立资产库。若攻击时流量的访问行为不但偏离了域名基线,还未命中全网正常资产行为库,则优先处置,避免正常业务流量被误伤。
  • 域名“非白”:在全网正常资产行为库的基础上,针对域名的正常业务行为进行适应性调整,建立域名粒度的资产库,避免特定类型的攻击流量到达源站;
  • 动态“非白”:动态训练并更新域名的流量基线,攻击发生时,根据访问行为特性处置偏离基线的部分,避免恶意流量蒙混过关;

“千人千面”能力演进


四七层联动抵御大规模应用层资源耗尽型攻击

针对应用层大规模资源耗尽型攻击,阿里云推出四七层联动防御体系,通过基于七层攻击特征,形成恶意IP黑名单,直接下发到四层拉黑,以免在七层拦截对业务造成的压力,且四层处置更有效。


而且支持在事中通过四七层联动过滤和拉黑恶意IP,从传输层阻止后续的恶意请求;同时可根据攻击态势、业务变动动态调整防御策略,真正做到“千人千面”。


全局防护策略模板实现“零时延”防护体

  • 已知类型攻击“零时延”防护。阿里云DDoS防护新增全局防护策略模板,基于海量历史攻防经验、并结合实时攻防态势,历史和当前CC攻击的恶意特征形成,对已知攻击类型可以直接下发防御策略,在业务整个生命周期提供“零时延”的防护体验,缓解传统防护机制中因策略生成和下发时延导致的攻击漏过问题;
  • 未知新型攻击实时监测。DDoS智能防护引擎实时监测访问流量是否偏离正常业务流量基线,一旦发生异常,立即采取处置措施。

image.png

与云深度融合的原生智能


针对业务架构复杂,无法接入代理高防的业务,阿里云基于云原生架构优势,将智能防护能力完美移植到阿里云DDoS原生防护,客户不需要更换IP,即可提升防护能力,利用云端智能分析中心,覆盖阿里云上百万级IP,实时分析攻防效果情况,自动下发防护策略,防护复杂的大流量混合DDoS及应用层CC攻击。


优势一:非攻击不进清洗,防止误拦截正常业务请求

区别于传统厂商的清洗阈值模式,阿里云原生智能防护针对DDoS攻击检测,不单单依赖清洗阈值,更利用云上海量数据训练时间序列模型,建立阿里云全网IP流量基线画像,根据历史基线及实时相似度检测算法动态识别DDoS攻击,防止正常业务被误清洗。


示例:某客户云上IP清洗阈值1Gbps,但是正常业务流量存在波动,存在部分时间段超清洗阈值情况,在智能防护的保护下,非攻击导致的流量抖动及周期性波峰,都不会被误清洗。

image.png


优势二:智能适配DDoS及CC清洗策略,不换IP不换架构,云产品实现自动加固

由于DDoS复杂的攻击手法,默认的防护策略考虑到全网用户的业务情况,无法覆盖到所有的攻击手法,复杂攻击存在漏过风险,出现业务异常往往只能提工单或者专业人员分析攻击,手动在控制台调整防护策略,需要大量的分析时间和专业人员,往往在人工策略配置之前,业务已经异常。


阿里云原生智能防护利用云上串行防护新引擎优势支持了全网实时分析处置,自动监控到防护漏过,根据历史IP画像及攻击分析,智能下发精准的防护策略,防止业务应用异常或命中带宽限速导致业务受损。

image.png

示例:旁路防护引擎默认清洗策略复杂攻击存在漏过,智能检测到攻击漏过,1分钟内自动下发加强串行策略,漏过攻击全部被拦截

image.png

即使攻在暗,防在明

但若能洞察本质,便能精准制敌


阿里云安全助力客户

在DDoS这场古老对抗中立于不败之地

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《深入解析数据存储技术原理及发展演进— 阿里云存储技术及产品》电子版地址
深入解析数据存储技术原理及发展演进— 阿里云存储技术及产品
0 0
《阿里云MongoDB备份恢复功能说明和原理介绍》电子版地址
阿里云MongoDB备份恢复功能说明和原理介绍
0 0
阿里云国际版ECS云服务器DDOS防护原理说明
DDoS基础防护服务可以有效防止云服务器ECS服务器受到恶意攻击,从而保证ECS系统的稳定,即当流入ECS服务器的流量超出实例规格对应的限制时,云盾就会帮助ECS服务器限流,避免ECS系统出现问题。
0 0
《阿里云栖开发者沙龙PHP技术专场-RabbitMQ 的延时队列和镜像队列原理与实战-钱文品》电子版地址
阿里云栖开发者沙龙PHP技术专场-RabbitMQ 的延时队列和镜像队列原理与实战-钱文品
0 0
Navicate 连接阿里云(两种方式及原理讲解)
Navicate 连接阿里云(两种方式及原理讲解)
0 0
万字长文带你玩转阿里云ECS云服务器(涵盖ECS产品购买、ECS管理、ECS快速部署云盘服务、ECS快照原理)
万字长文带你玩转阿里云ECS云服务器(涵盖ECS产品购买、ECS管理、ECS快速部署云盘服务、ECS快照原理)
0 0
阿里云4核8G服务器配置可选哪些ECS实例规格?
阿里云4核8G服务器ECS规格可选计算型c7、共享型s6、高主频计算型hfc7、计算型c6、AMD计算型c7a、计算型c8y、ARM计算型c6r及安全增强计算型c7t等规格,ECS实例规格不同CPU、网络带宽、网络收发包PPS、存储IOPS等性能参数也不同,阿里云百科分享阿里云4核8G服务器ECS实例规格及性能参数表:
0 0
+关注
云安全专家
阿里云安全
文章
问答
文章排行榜
最热
最新
相关电子书
更多
阿里云MongoDB备份恢复功能说明和原理介绍
立即下载
阿里云栖开发者沙龙PHP技术专场-RabbitMQ 的延时队列和镜像队列原理与实战-钱文品
立即下载
阿里云HBase备份恢复的原理以及实践
立即下载