如果全球的沙子都对你发起DDoS攻击,如何破?

简介: IPv6已来 2016年6月1日开始,苹果规定所有提交至AppStore的应用必须兼容IPv6-only标准。可以预计,2018年底会有大量互联网资源、上网用户使用IPv6协议。这意味着,如果一个互联网服务不能支持IPv6,将失去大量用户流量。
+关注继续查看
IPv6已来

2016年6月1日开始,苹果规定所有提交至AppStore的应用必须兼容IPv6-only标准。可以预计,2018年底会有大量互联网资源、上网用户使用IPv6协议。这意味着,如果一个互联网服务不能支持IPv6,将失去大量用户流量。

2017年底,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,要求到2018年末,IPv6活跃用户数达到2亿,并要求国内用户量排名前50位的商业网站及应用支持IPv6。IPv6成为国家战略。

随着IPv6时代的到来,IPv6网络下的攻击开始出现。2018年初,Neustar宣称受到了IPv6DDoS攻击,这是首个对外公开的IPv6 DDoS攻击事件。thc-ipv6、hping等IPv6的DDoS攻击工具也开始在互联网上出现。

2018年11月,淘宝、优酷的双十一首次跑在IPv6上。同时,阿里云云盾建成国内首家IPv6 DDoS防御系统,支持秒级监控、防御海量IP,为淘宝、优酷云上业务提供IPv4+IPv6双栈DDoS自动防护。双11期间,双栈防御系统拦截5000多次DDoS攻击,最大攻击流量达到397Gpbs。

IPv6时代,网络安全面临新的挑战

虽然IPv4下的防御系统已经非常成熟,但系统并不能直接用于IPv6防护,需要全链路重构支持IPv6。从流量监控、调度、清洗、黑洞都需要重新适应IPv6的新网络环境。此外,由于IPv6协议的新特性,可能会被黑客用于DDoS或DoS攻击:

 ●  IPv6的NextHeader新特性可能被黑客用于发起DoS攻击,比如Type0路由头漏洞,通过精心制造的数据包,可以让一个报文在两台有漏洞的服务器之间“弹来弹去”,让链路带宽耗尽,也可以绕过源地址限制,让合法的IP反弹报文;
 ●  IPv6新增NS/NA/RS/RA,可能会被用于DoS或DDoS攻击;
 ●  IPv6支持无状态自动配置,同时子网下可能存在非常多可使用的IP地址,攻击者可以便利的发起随机源DDoS攻击;
 ●  IPv6采用端到端的分片重组机制,如果服务器存在漏洞,可能会被精心伪造的分片包DoS攻击。

与此同时,IPv6下攻防态势也产生新的变化。IPv6提供海量的地址,一个IDC就可能申请到非常大的可用地址块,这对源IP频率和限速类的防御算法来说简直是噩梦。特别是应用层的DDoS:HTTP Flood、刷票、爬虫将变得更加难以防御。此外,随着自动驾驶汽车、物联网设备、移动终端等越来越多的智能设备入网,这些设备一旦被入侵都可能成为发起DDoS的僵尸网络,产生海量的攻击报文。

DDoS攻击往往是出于商业利益,据阿里云发布的《2018上半年网络安全报告》显示,游戏、移动应用、电子商务等竞争激烈的领域是DDoS攻击的重点阵地。随着企业业务切到IPv6协议,IPv6下的DDoS攻击在一段时间里会非常有效,因为很多企业并没有做好IPv6 DDoS防御的准备,对攻击者来说可以轻易达成攻击目标。此时IPv6下的DDoS攻击会逐步热门起来,成为很多企业的阿喀琉斯之踵。

阿里云IPv6DDoS防御最佳实践

针对挑战和变化需要解决的问题:

 ●  网络和DDoS防御系统需要改造甚至重构支持IPv6。
首先,虽然IPv4网络已经非常成熟,但到了IPv6网络,现有的很多企业网络、服务器网络的大部分都需要更换设备和重新开发系统,才能支持IPv6网络以及IPv6网络下的安全防护;
部分企业寄希望运营商会提供平滑的过渡方案,但运营商只会对运营商网络边界内进行改造升级,企业如果需要支持IPv6,是需要自身进行改造升级的。
 ●  IPv6的地址总量是IPv4的2的96次方倍,系统需要更强大的处理性能才能支持海量的IP的安全防御。
 ●  针对大流量DDoS,需要建立运营商级别的IPv6黑洞能力。
 ●  防御算法和防御模式都需要适应IPv6的新挑战。
 ●  在业务切换到IPv6的同时,需要具备IPv6网络下的安全防护能力。

阿里云如何实现:

1.重构系统支持IPv4+IPv6的双栈DDoS自动防护

a) 流量监控预警系统

流量监控预警系统需要支持IPv6和IPv4,同时检测双栈流量,为了能检测IPv6海量的IP地址,阿里云DDoS系统采用了分布式集群的方式,将流量分散到集群上协作运算,对多个流量指标进行统计,秒级监控流量的异常。

b) 调度系统

对调度系统升级,支持双栈,自动判断IP类型,启动对应防御模式和清洗算法。

c) 清洗系统

重新设计部署了牵引、回注、清洗系统,并制定针对IPv6的清洗算法。

2.运营商级别黑洞能力

不管是IPv4还是IPv6,当某个IP攻击流量特别大,会导致整个带宽拥塞。无论对IDC机房、云服务商来说,1个IP被攻击导致所有业务不可用简直是灾难。特别是IPv6网络带宽相对于IPv4还处于建设初期,攻击拥塞风险更大。

阿里云和各大ISP服务商建立IPv6黑洞联动能力,可以在运营商IPv6骨干网丢弃流量,提供安全的云环境。

3.防护模式的升级

a) 针对prefix级别的防御算法:

虽然一个IDC就可能申请到海量的IP地址,但这些IP地址归属的IP地址块不会太多,即使攻击者可以切换海量的IP地址,但在同一个机房的肉鸡IP很难在网段级别离散,通过IP地址网段来统计和分析可以有效减弱IPv6海量地址带来的冲击。

b)协同防御:

在传统IDC和单机安全设备上,一个IP的异常指标可能非常低,很难分析它是攻击还是正常访问,同时很难判断这个IP是否是NAT或园区出口,结合IPv6的海量IP,攻击者可以进一步降低被识别的可能。但攻击者为了成本和效率,一个IP不可能只攻击一个目标。比如IP X.X.X.X 在DDoS了服务器A之后,可能又去CC攻击了服务器B。在阿里云上,由于规模效应,有海量的IP同时在被防御,所有清洗数据进行了在线化分析,一个IP的行为特征就有了上帝视角,攻击者变得非常明显,所有租户的防御就可以协同作战,威胁情报可以共享。

c) 智能化深度防御:

针对应用层的DDoS攻击,基于频率和限速的模式会越来越难防御,假如一个网站能承受1W qps。在IPv6下,攻击者可以很廉价的获取1W个IP,每个IP每秒发起1次请求,这个网站就会不堪重负。所以,在IPv6下应用层的DDoS攻击防御,更高级的人机识别技术、人机对抗技术将成为主流。目前阿里云已在Web应用防火墙上应用了多种人机对抗技术。

安全建议

对于普通互联网服务提供者来说,重构、升级系统来支持IPv6需要花费大量的成本,建议利用云服务快速搭建基于IPv6的服务。目前,阿里云已有多款产品支持IPv6,同时以SaaS化的形式提供IPv6 DDoS防护能力,助力企业一秒搭建更高级别的防御能力。

相关文章
|
25天前
|
网络协议 网络安全
什么是 DDos 攻击?
什么是 DDos 攻击?
|
1月前
|
监控 网络安全
DDOS攻击成本高昂,与防御成本紧密相连110.42.2.1
DDOS攻击成本高昂,与防御成本紧密相连110.42.2.1
|
1月前
|
监控 网络协议 安全
DoS和DDoS攻击
DoS和DDoS攻击
136 0
|
2月前
|
机器学习/深度学习 算法 物联网
【DDoS攻击检测】基于改进的非洲秃鹫优化算法和一种新的DDoS攻击检测传递函数的特征选择方法(Matlab代码实现)
【DDoS攻击检测】基于改进的非洲秃鹫优化算法和一种新的DDoS攻击检测传递函数的特征选择方法(Matlab代码实现)
|
2月前
|
安全 网络安全 数据安全/隐私保护
通俗易懂的告诉你什么是DDoS攻击?
本文通过一系列漫画图片给大家做了生动的演示
31 0
通俗易懂的告诉你什么是DDoS攻击?
|
3月前
|
安全 网络安全 CDN
被ddos攻击了怎么办和有效解决方案
阿里ddos高防能不能抗住攻击 是部分担心遭到DDOS攻击的用户比较关心的问题,遭遇到DDoS攻击是很多用户非常烦恼的事情,业务一旦遭到DDOS攻击很容易导致业务无法访问而又难以解决,下面我们一起看看!
|
3月前
|
机器学习/深度学习 网络安全 SDN
在软件定义网络中使用机器学习的方法进行 DDOS 攻击检测与缓解--实验
在软件定义网络中使用机器学习的方法进行 DDOS 攻击检测与缓解--实验
|
3月前
|
缓存 监控 负载均衡
基于SDN环境下的DDoS异常攻击的检测与缓解--实验
基于SDN环境下的DDoS异常攻击的检测与缓解--实验
|
4月前
|
缓存 监控 安全
偶遇DDoS攻击-江湖厮杀之一波三折
偶遇DDoS攻击-江湖厮杀之一波三折
|
5月前
|
人工智能 安全 网络协议
DDOS攻击
最近网上爆火的一款游戏 Goose Goose Duck (鹅鸭杀) 游戏官方在近日发布了一则公告,宣布由于服务器屡次遭受黑客攻击,该游戏服务器将暂时关服三天进行维护 遭到了DDOS攻击,背后原因,我们不做讨论,只讨论DDOS。
84 0
DDOS攻击
相关产品
加密服务
数据安全中心
推荐文章
更多