复盘 | 最大规模资源耗尽型DDoS,阿里云是如何抵御的?

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全基线管理CSPM免费试用,1000次1年
简介: 定义每个域名的“白”,从而更好剔除“黑”。

banner-01.jpg

2020年11月,阿里云安全成功抵御了史上检测到的最大规模资源耗尽型DDoS攻击(又称CC攻击),峰值高达536.9万QPS。攻击者利用数万真实肉鸡,模拟高计算资源消耗型的正常HTTP/HTTPS请求,时间持续月余,攻击复杂度极高。
阿里云保障客户无感知,业务无误伤。


本文将展示当前此类攻击的趋势走向,并拆解阿里云DDoS智能防御引擎能够快速精准阻断攻击的背后原理。

1. 事件还原

时间:
·10月左右开始出现
·双11期间攻击频率和强度陡增

目标:
·电商和游戏行业,API支付接口为主

攻击手法:
·攻击特征字段采用乱码字符(如²»ÊÓÃ)和随机字符填充;
·数万肉鸡,平均每个被控制肉鸡发起的攻击频率小于50QPS;
·大量使用动态IP地址(秒拨),肉鸡源IP频繁变化,多次攻击之间的IP重合度小于30%;
·攻击流量95%源自国内,无地缘聚集性,与业务来源地一致或相近。
wode2-2.png
!!2020-12-25 下午6.22.53.png
wd2-3.png
截屏2020-12-25 下午6.40.24.png
截屏2020-12-25 下午6.43.57.png

在本事件中,乱码字符和随机字符使得手工配置的特征匹配策略失效,而频繁更换的肉鸡源IP则大大削弱了IP封禁防御方法的威力。分辨被控主机和正常业务访问用户的难度陡然提升。

2.攻击者画像

在过去的一年中,我们发现此类攻击无论在攻击强度、还是在攻击复杂度,已迈入新台阶。

· 更狡猾

当前,资源耗尽型DDoS攻击开始出现如下特征:控制数万甚至数十万级别的真实肉鸡,其IP池动态变化,与正常用户重合;攻击手法多采用自动化框架进行请求伪造且随机分布,通过真实浏览器发起攻击,或攻击业务类型为API/原生APP的网站。
用户的业务是多样的,一刀切的防护模板极为宽松,其结果必然是防护力度差。

4.png

· 更凶猛

根据阿里云观测数据,从2019年11月起,资源耗尽型DDoS攻击的峰值已增长近5倍,并创下了536.9万QPS的历史新高。

2.png

高难度的攻击识别,以往只能通过安全专家人工判断补足。他们需要根据不同的业务类型,细粒度制定防护模板,再根据攻击强度,手工调整策略。而日趋复杂的攻击手法叠加不断增长的流量峰值,迫使人工专家陷入了两难局面:配置低维策略可以尽快恢复业务,但误伤也会更大;坚持多维分析,则可能导致更长的业务停滞时间。

2.png

维度越少,误伤越高

倘若单一维度会有10%的误伤,

那么:

· 1维组合误伤趋向于:10%

· 2维组合误伤趋向于:1%

10% * 10%

· 3维组合误伤趋向于:0.1%

10% 10% 10%

……

维度越多,业务停滞越久

假设:常用HTTP Header 20个(实际更多),单一维度分析耗时15S(飞速),

那么:

· 1维分析工作量:5分钟

20个 * 15S/个 = 300S

· 2维分析工作量:1小时40分钟

300S + (19+18+……+1)个 * 30S/个 = 6000S

· 3维分析工作量:20小时40分钟

6000S + 20C3 个 * 60S/个 = 74400S

……

3.阿里云的防御之道

· AI引擎 + 云原生 = 千人千面防御策略
如何让每个用户都拥有专属的防御专家,并且更快更准?
阿里云DDoS高防产品融入了应用AI技术的DDoS智能防御引擎,基于云上威胁情报库和海量业务类型,先天具备对各类业务特征的先验知识,并基于细粒度机器学习模型,可以定义每个域名的“白”流量,从而更好剔除“黑”流量。

图表-03.png

以域名为粒度,对近百个HTTP/HTTPS标准头字段做多维度模型训练,如客户端维度,对不同引擎厂商、浏览器厂商、主版本号、子版本号等,阿里云DDoS智能防御引擎积累了6万余个常见客户端的访问行为特性。
通过对全网请求源的访问行为分析,得到了超过7100万个恶意IP,并可根据攻击态势、业务变动动态调整防御策略,真正做到“千人千面”。

动态“非白”

动态训练并更新域名的流量基线,攻击发生时,根据访问行为特性处置偏离基线的部分,避免恶意流量蒙混过关;

全局“非白”

跨域名全网识别各资产的正常访问行为特性,并建立资产库。若攻击时流量的访问行为不但偏离了域名基线,还未命中全网正常资产行为库,则优先处置,避免正常业务流量被误伤。

作为基于云计算资源的高防产品,阿里云DDoS防御天然具备弹性扩容特性,且应用层DDoS攻击防护期间的弹性扩容作为本身功能的一部分,无需用户额外支付费用。得益于与基础设施的深度绑定,阿里云更擅长集合全网威胁情报,构建从日志采集,到计算分析,再到线上引擎策略更新的体系化防护,能够迅速应对变异攻击。

· 高等级防护能力,防护多样业务类型
在攻击手段不断变化的今天,企业需要更加高效的DDoS防护方案。特别是电商、游戏等因为业务逻辑复杂,更容易受到资源耗尽型攻击的行业,智能防护引擎之外,清洗资源、对业务类型的支持同样重要。
通过在全球建设DDoS清洗中心,阿里云构建了总带宽超过10Tbps的BGP防护网络,支持从网络层/传输层(L3/4)到应用层(L7)DDoS攻击的防护,可满足源站保护、源站减负等需求。
集成轻量级SDK,在APP业务防护方面阿里云可做到:基于客户端环境信息的聚类调度算法,秒级响应,精准定位攻击者并主动隔离;兼容所有基于TCP的游戏协议,通过加密传输解决游戏协议安全性问题;配合SDK智能网络调度,实现全球网络优化;同时提供客户端运行环境风险识别能力(设备指纹、运行环境监测、流量行为标签等),为移动端业务的风险控制提供基础数据支持,更好保护云上用户。

第三方认可

· DDoS防御产品在大中华区市场份额第一,营收首超传统厂商
(来源:Frost & Sullivan 2020)
· DDoS攻击防护平台和云解析DNS入选工信部推荐的网络安全公共服务平台

戳链接了解相关产品信息
https://www.aliyun.com/product/security/ddos?spm=5176.13076100.J_8058803260.157.78cd21e7Z6MPwI

相关文章
|
1月前
|
人工智能 安全 网络安全
基于阿里云平台帮助出海企业应对DDoS攻击
基于阿里云平台帮助出海企业应对DDoS攻击
|
1月前
|
人工智能 网络安全 双11
阿里云国际DDoS高防的定制场景策略
阿里云国际DDoS高防的定制场景策略
|
1月前
|
网络协议 网络安全
阿里云国际该如何设置DDoS高防防护策略?
阿里云国际该如何设置DDoS高防防护策略?
|
1月前
|
域名解析 安全 网络协议
阿里云国际配置DDoS高防(非中国内地)安全加速
阿里云国际配置DDoS高防(非中国内地)安全加速
|
1月前
|
域名解析 网络协议 网络安全
阿里云国际配置DDoS高防(非中国内地)加速线路
阿里云国际配置DDoS高防(非中国内地)加速线路
|
1月前
|
安全 网络协议 网络安全
阿里云国际放行DDoS高防回源IP
阿里云国际放行DDoS高防回源IP
|
1月前
|
网络协议 安全 网络安全
阿里云国际修改域名绑定的DDoS高防服务器
阿里云国际修改域名绑定的DDoS高防服务器
|
1月前
|
域名解析 网络协议 网络安全
阿里云DDoS高防(中国内地)计费说明
阿里云DDoS高防(中国内地)计费说明
|
1月前
|
安全 网络协议 网络安全
如何购买阿里云购买DDoS高防服务器?
如何购买阿里云购买DDoS高防服务器?
|
1月前
|
运维 监控 安全
阿里云国际设置DDoS基础防护和原生防护攻击事件报警
阿里云国际设置DDoS基础防护和原生防护攻击事件报警