本文是WOT2016互聯網運維與開發者大會的現場干貨，  新一屆主題為WOT2016企業安全技術峰會將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開！

【嘉賓簡介】

劉紫千博士，CISSP，加州大學訪問學者，中國通信企業協會通信網絡安全專業委員會委員?，F為中國電信網絡安全產品運營中心CEO兼首席架構師，“云堤”團隊負責人。曾任中國電信ChinaNet網絡負責人、DNS系統負責人和集團SOC主任。

WOT2016互聯網運維與開發者大會的運維安全專場的演講中，中國電信網絡安全運營中心CEO劉紫千做了關于抗“2D(DDoS + DNS)”的精彩演講，他表示：“似乎在運維角度，大家考慮更多的是架構，是高并發，使用什么樣的自動化運維的工具去解決面對海量服務器的維護的問題。但是還是有一些問題，我們似乎是回避不了的，比如說安全的問題。”

DDoS + DNS

DNS通道是DDoS主控與被控聯系的主要方式之一;

DNS協議是DDoS攻擊的主要利用協議之一;

DNS節點直接或間接成為DDoS攻擊目標;

DNS數據十分有助于發現僵尸網絡的活動;

DNS解析是DDoS防護中牽引生效的主要手段之一。

DDoS攻擊

有些安全問題不是通過企業自身或者運維團隊自身能夠搞定的事情，DDoS攻擊就是其中之一。談到DDoS的范疇，劉老師認為：“DDoS攻擊限定于資源消耗型的攻擊，無論這種資源消耗型是對你帶寬的占用，還是對于你計算資源的耗盡。其實，DDoS攻擊都是在‘局部’造成壓倒性資源消耗。”

上圖展示的是4月9日當日24小時江蘇省的攻擊，To指站在中國范圍內，中國電信可監控的網絡范圍有多少流量去了江蘇省。圖中顏色越紅的區域表示從那個省發出的攻擊流量越多。From是指站在江蘇省的角度，從江蘇省發起了多少攻擊流量打到其他省。下面我們來看看具體的地域分布：

這也是4月9日當天24小時的圖。左圖，我們可以看到沒一個省遭受的攻擊，顏色表示嚴重程度，顏色越深越紅表示遭受的攻擊越多。右圖表示從這些省有多少流量打出來，顏色越紅表示從這個省發出的DDoS攻擊流量越多。從圖中，我們可以看出，遭受攻擊最多的是東南沿海，以及北京、遼寧等地經濟比較發達的省。因為這些省有很多IDC的資源，他的互聯網接近國際出口和一些互聯互通的出口。但是比較有意思的是發起攻擊的這些地方，其實你會看到一些非常非常生僻的省，它的顏色大家覺得它在互聯網經濟上不是很繁榮的一些省，比如像甘肅、新疆的顏色也很深，所以這張圖對比起來，就會感覺到其實我們要面對的這些攻擊發起點，真的是非常非常的分散的。

DDoS到底從哪里來

DDoS到底從哪里來?為了回答這個問題，劉老師為我們展示了下圖：

圖中，按照攻擊的發起點進行劃分，橙色代表的國際方向，藍色代表的國內其他運營商，聯通、鐵通、移動教育網，以及紫色代表的中國電信，發起的攻擊流量，做了三個緯度的刻劃。從2013年到2015年，我們可以看到，假如中國電信網內的一個IP遭受攻擊，那么基本上有六至七成的攻擊流量不是從中國電信的網上發起的，也就是說可能會有橙色代表的三成攻擊流量是從其他方向打過來的，還有大概兩到三成的攻擊流量是從國際發起的。

劉老師表示，站在電信的全網角度，其實所有大家知道的著名的大的互聯網公司以及大的云服務提供商，都在使用云堤的防DDOS防護服務的一個API，來去幫他們去抵擋超大規模的流量型攻擊。當一個攻擊過來的時候，云堤會賦予它一種能力，就是你可以去限制從某個方向打過來的流量，再妙擊，我們把它叫壓制掉。大家可以去想像，現在很多大的網站都在使用CDN。那么CDN的技術其實就是就近覆蓋。如果電信的一個IP遭受DDOS攻擊，從正常的用戶訪問行為上，他不應該有來自大量聯通過來的流量。因為正常的DNS選擇也好，BGP的選錄也好，這個流量應該是直接去訪問聯通的IP，聯通的用戶應該訪問聯通的IP，不應該訪問電信的。如果有這個方向大量的聯通過來的訪問電信IP的流向，那么它極有可能是一個高概率的惡意訪問。所以，可以把那個方向過來的流量全部屏蔽掉。

當用戶在使用云堤去解決跨網不合理的訪問功能時，紫色區域顯示的就是電信網內的攻擊流量似乎占比就會大。這張圖背后的含義，其實是說數據是有一定的變化的。那變化是因為，有更多的用戶在使用這種分方向的流量壓制云堤獨特的優勢。

DDoS攻擊規模如洪水猛獸

DDoS攻擊趨勢圖

這張趨勢圖說明了從2013年1月到2016年3月，三年多的時間里，每一個月云堤所看到的在中國電信的互聯網上，當月累積的攻擊總量，每一個柱代表，在這個月我們監測到全網DDOS攻擊的總流量，縱坐標是T字節，是一個絕對值。所以這個圖其實告訴我們，雖然每個月似乎全網的DDOS流量高高低低，有起有浮，但是它的總體趨勢還是越來越大的。我們的峰值出現在15年的7月份，當月超過三萬三千TB。我們可以看到，2016年3月份，這個峰值也非常接近歷史峰值。那么，三種顏色其實和之前看到的餅圖代表的物理含義是一樣的。所以我們可以看到說，基本上這個攻擊如果按照三個緯度來說，有一點三分天下的感覺。

單次攻擊峰值規模到底有多大?

在上圖中，劉老師比較了連續三個半年的數字。他監測到的DDOS攻擊的峰值，按照橫坐標所示的六個區間，做了歸納。也就是說，在這個坐標軸最右側大于100GBPS的單次攻擊。我們在這六個月里，我們看到了多少次峰值大于100G的攻擊，去除以分母，這六個月監測到的所有的DDOS攻擊，大于100G的攻擊的占比。請大家去注意一下，我們最右側這張圖，前面好像似乎，看著這個比例高高低低差不多，但是對那些單次攻擊峰值超過100Gbps的這些DDOS攻擊，我們會看到15年的上半年、下半年比14年的百分之比基本上要高出兩到三個百分點。這其實已經是非常非常明顯的一個差別了。

在2015年上半年，電信網內監測到的單次攻擊超過200G的有三次，平均一天超過100G的也有19次。那到了下半年，這個指標幾乎要翻番，就是說到15年的下半年，超過100G到200G峰值的，一天差不多31次，那超過200G的攻擊峰值一天也有六次，所以大家可以想像說什么樣的用戶能夠去抵擋類似這樣規模的DDOS攻擊呢?其實現在除了BAT體量的公司，任何一家SP，就不用提一般的政企類的客戶，他其實是沒有能力去訪的，如果真是被攻了這么大的體量。即便是現在BAT體量的公司，他有足夠的資金在單點購買足夠大的帶寬，也需要去衡量他的運維成本。也就是他為了吸納這些流量，他去付出的帶寬成本，他去付出的計算資源，以及他為吸納這些流量，造成的他在那個節點，整體用戶的影響。

DDoS攻擊應對

回顧DDoS的歷程，從PC、IDC到云和智能設備，DDoS攻擊的發起點也在發生變化。我們該如何應對DDoS攻擊呢?劉老師建議從以下三點出發：檢測、防護、溯源。即是先要看得見攻擊，然后防住攻擊，再去追查究竟是誰在攻擊，形成一個閉環。

關于檢測：通過基于Netflow的方式，在擁有全網Netflow數據的時候，通過云堤可以清楚的告訴客戶，或者運維團隊，現在企業所面臨的是多

大的攻擊，面對的是貓，是老虎，還是龐然大物。這位后期的攻擊防護是處置的帶寬資源以及計算資源，是一個非常直接的測度。

關于防護：主要有兩種方式，一種是壓制，另一種是清洗。

◆壓制：有的運維人員可能會說，壓制是一種黑洞。其實，壓制能做的比黑洞更多。因為云堤調動的是中國電信整個骨干網的邊緣路由器的防護，所以它可以讓運維人員有選擇的丟棄國際、國內互聯互通、單一運營商內、IDC等某個方向的流量，這是云堤一種獨特的能力，它可以區分方向的流量壓制。這樣做的優勢是，可以再路由器性能穩定前提下，防護能力無上限。

◆清洗：清洗是國內的概念，這個概念在國外叫mitigation，意思是緩解。其實是說，在某種程度上會有流量損失和特征損失的。但是當一個已經被打癱了的網站，因為清洗業務的疊加，會在一定程度上讓網站攻擊情況得到緩解。云堤的分布式清洗中心，覆蓋全網骨干26個清洗節點+數百臺核心路由器。具有全網BGP的定制化能力，實現分布式的攻擊，分布式的處置，通過專用攻擊牽引帶寬VS業務混跑。

關于溯源：首先要明白什么是源，溯什么源?源有兩類：第一類是攻擊流量從哪里發出，攻擊發起的實際載體是什么即肉雞或者叫受控端。第二類是主控，控制源——C&C，明白到底是誰在打你。云堤是做第一類的，因為中國電信有全網的Netflow數據，清楚每一個流量是從路由器哪個接口進入的。云堤根本不用戶體會攻擊發起采用的是什么源IP，現在所有在云端做的或者叫進目的端防護的所謂的溯源，去溯那個攻擊發起源，基本上都是基于IP—Geo mapping，其實那個是不那么準確的。而云堤的方式是，這個流量是從路由器的接口進來，這個接口所對的就是某個D的，某個IDC。那我不管你的IP變幻是美國的，是英國的，是法國的，加拿大的，我都知道你就是從這個IDC出來的。

演講最后，劉老師表示，抗D的坑，罄竹難書……比如：檢測時出現漏報、誤報以及遲報等情況。

【編輯推薦】