开发者社区> 云安全专家> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

复盘 | 最大规模资源耗尽型DDoS,阿里云是如何抵御的?

简介: 定义每个域名的“白”,从而更好剔除“黑”。
+关注继续查看

banner-01.jpg

2020年11月,阿里云安全成功抵御了史上检测到的最大规模资源耗尽型DDoS攻击(又称CC攻击),峰值高达536.9万QPS。攻击者利用数万真实肉鸡,模拟高计算资源消耗型的正常HTTP/HTTPS请求,时间持续月余,攻击复杂度极高。
阿里云保障客户无感知,业务无误伤。


本文将展示当前此类攻击的趋势走向,并拆解阿里云DDoS智能防御引擎能够快速精准阻断攻击的背后原理。

1. 事件还原

时间:
·10月左右开始出现
·双11期间攻击频率和强度陡增

目标:
·电商和游戏行业,API支付接口为主

攻击手法:
·攻击特征字段采用乱码字符(如²»ÊÓÃ)和随机字符填充;
·数万肉鸡,平均每个被控制肉鸡发起的攻击频率小于50QPS;
·大量使用动态IP地址(秒拨),肉鸡源IP频繁变化,多次攻击之间的IP重合度小于30%;
·攻击流量95%源自国内,无地缘聚集性,与业务来源地一致或相近。
wode2-2.png
!!2020-12-25 下午6.22.53.png
wd2-3.png
截屏2020-12-25 下午6.40.24.png
截屏2020-12-25 下午6.43.57.png

在本事件中,乱码字符和随机字符使得手工配置的特征匹配策略失效,而频繁更换的肉鸡源IP则大大削弱了IP封禁防御方法的威力。分辨被控主机和正常业务访问用户的难度陡然提升。

2.攻击者画像

在过去的一年中,我们发现此类攻击无论在攻击强度、还是在攻击复杂度,已迈入新台阶。

· 更狡猾

当前,资源耗尽型DDoS攻击开始出现如下特征:控制数万甚至数十万级别的真实肉鸡,其IP池动态变化,与正常用户重合;攻击手法多采用自动化框架进行请求伪造且随机分布,通过真实浏览器发起攻击,或攻击业务类型为API/原生APP的网站。
用户的业务是多样的,一刀切的防护模板极为宽松,其结果必然是防护力度差。

4.png

· 更凶猛

根据阿里云观测数据,从2019年11月起,资源耗尽型DDoS攻击的峰值已增长近5倍,并创下了536.9万QPS的历史新高。

2.png

高难度的攻击识别,以往只能通过安全专家人工判断补足。他们需要根据不同的业务类型,细粒度制定防护模板,再根据攻击强度,手工调整策略。而日趋复杂的攻击手法叠加不断增长的流量峰值,迫使人工专家陷入了两难局面:配置低维策略可以尽快恢复业务,但误伤也会更大;坚持多维分析,则可能导致更长的业务停滞时间。

2.png

维度越少,误伤越高

倘若单一维度会有10%的误伤,

那么:

· 1维组合误伤趋向于:10%

· 2维组合误伤趋向于:1%

10% * 10%

· 3维组合误伤趋向于:0.1%

10% 10% 10%

……

维度越多,业务停滞越久

假设:常用HTTP Header 20个(实际更多),单一维度分析耗时15S(飞速),

那么:

· 1维分析工作量:5分钟

20个 * 15S/个 = 300S

· 2维分析工作量:1小时40分钟

300S + (19+18+……+1)个 * 30S/个 = 6000S

· 3维分析工作量:20小时40分钟

6000S + 20C3 个 * 60S/个 = 74400S

……

3.阿里云的防御之道

· AI引擎 + 云原生 = 千人千面防御策略
如何让每个用户都拥有专属的防御专家,并且更快更准?
阿里云DDoS高防产品融入了应用AI技术的DDoS智能防御引擎,基于云上威胁情报库和海量业务类型,先天具备对各类业务特征的先验知识,并基于细粒度机器学习模型,可以定义每个域名的“白”流量,从而更好剔除“黑”流量。

图表-03.png

以域名为粒度,对近百个HTTP/HTTPS标准头字段做多维度模型训练,如客户端维度,对不同引擎厂商、浏览器厂商、主版本号、子版本号等,阿里云DDoS智能防御引擎积累了6万余个常见客户端的访问行为特性。
通过对全网请求源的访问行为分析,得到了超过7100万个恶意IP,并可根据攻击态势、业务变动动态调整防御策略,真正做到“千人千面”。

动态“非白”

动态训练并更新域名的流量基线,攻击发生时,根据访问行为特性处置偏离基线的部分,避免恶意流量蒙混过关;

全局“非白”

跨域名全网识别各资产的正常访问行为特性,并建立资产库。若攻击时流量的访问行为不但偏离了域名基线,还未命中全网正常资产行为库,则优先处置,避免正常业务流量被误伤。

作为基于云计算资源的高防产品,阿里云DDoS防御天然具备弹性扩容特性,且应用层DDoS攻击防护期间的弹性扩容作为本身功能的一部分,无需用户额外支付费用。得益于与基础设施的深度绑定,阿里云更擅长集合全网威胁情报,构建从日志采集,到计算分析,再到线上引擎策略更新的体系化防护,能够迅速应对变异攻击。

· 高等级防护能力,防护多样业务类型
在攻击手段不断变化的今天,企业需要更加高效的DDoS防护方案。特别是电商、游戏等因为业务逻辑复杂,更容易受到资源耗尽型攻击的行业,智能防护引擎之外,清洗资源、对业务类型的支持同样重要。
通过在全球建设DDoS清洗中心,阿里云构建了总带宽超过10Tbps的BGP防护网络,支持从网络层/传输层(L3/4)到应用层(L7)DDoS攻击的防护,可满足源站保护、源站减负等需求。
集成轻量级SDK,在APP业务防护方面阿里云可做到:基于客户端环境信息的聚类调度算法,秒级响应,精准定位攻击者并主动隔离;兼容所有基于TCP的游戏协议,通过加密传输解决游戏协议安全性问题;配合SDK智能网络调度,实现全球网络优化;同时提供客户端运行环境风险识别能力(设备指纹、运行环境监测、流量行为标签等),为移动端业务的风险控制提供基础数据支持,更好保护云上用户。

第三方认可

· DDoS防御产品在大中华区市场份额第一,营收首超传统厂商
(来源:Frost & Sullivan 2020)
· DDoS攻击防护平台和云解析DNS入选工信部推荐的网络安全公共服务平台

戳链接了解相关产品信息
https://www.aliyun.com/product/security/ddos?spm=5176.13076100.J_8058803260.157.78cd21e7Z6MPwI

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云宣布开源 PolarDB 数据库,推动云原生数据库 2.0 生态 鸣飞
阿里云宣布开源 PolarDB 数据库,推动云原生数据库 2.0 生态 鸣飞
41 0
阿里云自然语言处理--文本摘要(电商)Java SDK 调用示例
自然语言处理(Natural Language Processing,简称NLP),是为各类企业及开发者提供的用于文本分析及挖掘的核心工具,旨在帮助用户高效的处理文本,已经广泛应用在电商、文娱、司法、公安、金融、医疗、电力等行业客户的多项业务中,取得了良好的效果。文本摘要服务可以在保证能够反映原文档的重要内容的情况下,尽可能地保持简明扼要,自动抽取输入文本中的关键信息并生成短文本摘要。能让用户在当今世界海量的互联网数据中找到有效的信息,有效缩短检索的时间,提高用户体验。本文将使用Java Common SDK 演示文本摘要(电商)服务的快速调用以供参考。
145 0
阿里云认证考试题库靠谱吗?认证考试通过率如何?
阿里认证大使为您介绍: ● 熟悉阿里云大数据相关产品的基本概念,包括大数据计算服务MaxCompute、数据工场 DataWorks(原大数据开发套件DataIDE)、数据集成、QuickBI、机器学习 PAI 等(下同)
75 0
阿里云宣布开源 PolarDB 数据库,推动云原生数据库 2.0 生态 鸣飞
阿里云宣布开源 PolarDB 数据库,推动云原生数据库 2.0 生态 鸣飞
59 0
为AIoT智联网而生,阿里云高性能存储ESSD率先全球大规模商用
8月26日,阿里云宣布自研ESSD率先实现大规模商用,服务数万企业,涵盖自动驾驶、AR/VR、证券交易、电商搜索等产业。ESSD是业界首个百万级IOPS、百微秒延时的超高性能云存储产品,由于其突出的高性能、低延时特点,将成为AIoT智联网场景标配。
999 0
阿里云大数据产品Dataworks2.0问题排查思路
1.数据同步不支持数据包含换行符n2.PAI节点可以支持TenSorFlow。3.遇到连通性通过,但是配置同步作业或运行时会有超时情况。这种情况通常自定义资源组来做同步。4.正常调用正常但重跑报错报错ODPS-0130071,重新打开窗口重跑流程。
1977 0
DTCC 2019 | 前沿技术应用知多少? 阿里云图数据库GDB带你探索互联数据的奥秘
阿里图数据库GDB是一种支持属性图模型、用于处理高度连接数据查询与存储的实时、可靠、可扩展的在线数据库服务。本次演讲深入浅出的介绍了图数据库的概念和使用场景,以及如何快速构建基于高度连接的数据集的应用程序。
7693 0
Discuz 论坛附件、头像等资源迁移到阿里云 OSS 并开启 CDN 的解决方案
Discuz 论坛的附件、头像等资源不断增长,如果和主程序一起存储在云服务器上,就会导致云盘要定期进行扩容操作;附件如果需要进行 CDN 加速也只能使用回源策略进行 CDN 配置。为了一劳永逸的解决附件存储和加速问题,将附件等资源迁移到对象存储服务上是一个好的选择,本文以阿里云 ECS、OSS 服务为背景,其他云计算平台也可以参考。
7468 0
阿里云数据库资深专家林伟:大规模计算平台研究与实战
“大流量高并发互联网应用实践在线峰会”将于9月20-21日20:00-21:30召开,届时10位淘宝开放平台和阿里云技术大V将为广大开发者分享阿里的第一手实践。本次会议上,阿里云数据库资深专家林伟将为大家带来《大规模计算平台研究与实战》的分享,下为详情。
5712 0
+关注
云安全专家
阿里云安全
344
文章
1
问答
来源圈子
更多
让上云更放心,让云上更安全。
+ 订阅
相关文档: 密钥管理服务 访问控制 操作审计
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载