一、DDoS趋势的一些变化
从今年3月份起,世界上最大的DDoS攻击记录到了1.7 Tbps,是一个普通家庭带宽出口的数十万倍,几乎可以横扫互联网,作为一个生存了20年之久的古老攻击形式,我们看到了今年来DDoS攻击量成指数级攀升,不仅没有出现颓势,反而愈演愈烈。随着物联网的发展,数以亿计的IoT无辜的成为了DDoS攻击的”帮凶”,这给互联网的创业者带来了无比的创业压力,一方是如洪水般的DDoS攻击,一方是普通的网络出口带宽,今天互联网的DDoS攻击已经昭示了一个不得不令人悲观的事实,普通的企业根本不可能抵御住海量的DDoS攻击,这是一场无法单靠拼技术就能打赢的战役。
1.1 DDoS攻击的成本究竟有多高
美国云安全技术服务公司Armor发布的一份报告揭示了暗网上针对各种网络犯罪相关服务实施的价格标准。该报告是通过搜罗数个知名的暗网市场数据总结出来的。据报告显示,黑客可以用10美元/小时、200美元/天的价格或者500—1200美元/周的价格租用DDoS攻击。
数据来源:freebuf
另外,从搜索引擎上也可以搜到很多类似的攻击平台,DDoS攻击即服务,黑客跑的一点也不慢。
1.2DDoS防御为什么这么贵
众所周知,防御海量的DDoS攻击,就必须要有海量的防御带宽,我们经常看到很多的客户提问说,主机上看到的恶意DDoS的IP是否可以用安全组或者软件防火墙封禁掉,也有客户提到,为什么阿里云在网络入口不能封禁掉这些攻击的IP。理论上,只要带宽足够,这样做是可以起到效果的,但实际上客户购买的主机带宽很小,单纯的用主机防火墙或者安全组只能过滤掉比带宽小的流量,一旦带宽被占满,那么这些封禁策略都将无法工作。DDoS攻击就像洪水一样必须要在入口处有坚固的堤坝,仅靠家门口的篱笆是无法阻挡住洪水的。
DDoS防御的主要成本是带宽、机房资源、服务器和清洗设备,这些都属于重资产资源,目前业界几种产品形态分别存在于运营商、云厂商、CDN厂商或者是IDC机房中,但是由于各自的服务模式、商业模式、技术和产品形态的不一样,在防御的时候原理会有一些区别,但是无论什么形态,都离不开前文所提到的这些资源。DDoS攻防不对等的主要原因在于防御厂商的这些资源必须是常备资源,以1个百G机房为例,一年的建设成本可能就需要上千万人民币,这还不算专业的服务人员和研发人员。随着全网提速降费和肉鸡资源增多,这种状况只会越来越加剧。
**二、上云后的DDoS防御最佳实践
**
依据防御能力的不同,阿里云上有不同的产品形态可以供用户选择,在企业上云的不同阶段,面临的威胁不同,也可以选用不同的防御产品来构建自身的安全体系,如下是阿里云DDoS防御产品矩阵图。
2.1DDoS基础防护
云产品默认自带的防御能力,针对海量客户提供500M-5G的免费抗D能力,加入安全信誉联盟之后,可以累积信誉值,获得比5G更高的能力(限次)。
2.2DDoS防护包
提供比5G更高的增值防御能力,用户可以不改变任何配置,直接提升云产品的防御能力,部署简单方便。
2.3DDoS高防IP(BGP多线)
针对海量DDoS攻击的场景,需要把流量引入大流量清洗中心清洗,清洗完之后送回用户的主机,相较与业界产品,阿里云用户可以享受到专线回源,独享海量防御带宽的优势。
2.4游戏盾
针对攻击的重灾区游戏行业推出的端到端到无上限防御方案,防御DDoS攻击,CC攻击,游戏连接性攻击等各种复杂攻击,提供按照业务规模收费的成长性服务机制。
**三、探索抗D服务的几个发展方向
**
3.1不设上限防御服务
如今,一般的云厂商都具备了上T的防御能力,运营商也在逐步开放一些能力,防御方的实力大大增强,我们已经观察到了国外有厂商开始提供这种“unlimited”的服务,尽最大能力防护,意味着不再给用户设置防御上限,尽力防护到机房水位线为止,这种新的计费模式,充分发挥了云的规模化优势,使得客户的防御成本大大降低,也减少了客户付费之后还被打进“黑洞”的风险。
3.2贴近业务,更具备成长性
遭受DDoS攻击的企业,一般还是以中小企业为主,目前DDoS防御的手段多以攻击流量的大小来进行收费。但是,1.7T的攻击出来之后,一般的企业基本上无法付费防住这么大的攻击,因此面对中小企业,按照业务价值大小付费的模式逐步发展起来。今年以来,游戏盾也在进行这方面的尝试,阿里云推出了基于客户业务日活数量来计费的服务,目前已经在内测申请阶段,内测链接https://promotion.aliyun.com/ntms/act/gameshieldinfinite.html。
3.3更快更稳的网络质量
抗D服务是一种应急类的安全产品,在出现攻击的时候,需要用最快的反应时间来防御住攻击,因此客户一般会常态化的将业务跑在高防机房里。高可用的网络质量也是一个考虑因素。为什么高防的成本如此之高,其实主要看厂商将成本投向了哪个方面,如果是采用昂贵的BGP带宽的话,那基本上是目前国内最好的带宽了,再配合上云上的专线回源,可以让要求苛刻的游戏业务的体验做到极致。
**
3.4数据与可视化**
另外一方面,随着DDoS攻击的不断发展,其攻击手段越来越复杂。在海量DDoS攻击发生的时候,完整的记录下攻击的详细日志,形成快速有效的实时分析数据,相比很多连控制台都不完整的IDC高防,这种“看见”的能力越来越成为云厂商的优势。今年,阿里云打造了全新的实时数据系统,能让用户看见更多的威胁,并且阿里云的全量攻击日志追溯可以让客户看到过去发生的攻击的详细信息。
**
四、对于DDoS终局的一些思考**
这几年,我们发现无论是攻击手段的翻新还是防御厂商的增多,整个市场似乎出现了非常火热的现象,这其实跟整个互联网环境的变化息息相关。诸多防御厂商的涌入带来的一个好处是更多的资源涌入防御方,使得大部分客户都能找到符合自己需求的产品。未来会有更多的厂商加入进来,云服务厂商已经将抗D服务作为一个基础的门槛产品,没有抗D服务就没有稳定的云服务。
就任何一种攻击而言,没有攻击就没有防御。我们相信,只要互联网还存在,DDoS攻击就不会消失。当5T、10T的攻击来临的时候,也许只有所有的厂商联合起来,才能真正打赢这场战役。
这一切,还只是刚刚开始。