目前,网络安全问题日趋严重,尤其是DDoS(Distributed Denial of Service,分布式拒绝服务)攻击成本的不断下降,使得这类攻击成为目前最为普遍的网络攻击手段。给电子商务、互联网金融等依赖网络实现业务发展的行业带来了极大危害。因此,如何有效防止DDoS攻击成为目前急需解决的网络安全问题。
由于DDoS攻击借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。因此,一旦IDC(Internet Data Center,互联网数据中心)受到攻击,不仅会直接影响IDC自身业务,甚至可以利用IDC所具备的超大流量对其他网络中的设备进行饱和攻击,其后果不堪设想。而对于运营商网络而言,DDoS攻击同样是其重点防范对象。
为此,作为中国联合网络通信集团有限公司上海分公司(简称:上海联通)与华为公司展开联合创新,在2014华为云计算大会上(HCC 2014)上推出了DDoS云清洗服务产品。其基于华为Anti-DDoS的全流量逐包方法建立起来的60多种流量模型,可快速、精准实现攻击检测。对此,上海联通产品管理中心总经理魏尚俊表示:“防范DDoS攻击是目前很多用户的迫切需求,由于依靠互联网提供业务的行业与企业越来越多,这些用户对于网络安全性、网络服务可持续性要求非常高,为了满足用户的这种需求,上海联通决定推出自己的云清洗服务产品。”
上海联通、华为云清洗服务联合创新发布会现场
而对于为何选择与华为进行合作时,魏尚俊也表示“同全球领先的供应商方案对比,上海联通发现华为产品目前在大容量高精度性能及服务方面表现最佳。所以选择与华为公司展开合作,共同推出了这款云清洗服务产品。”
IDC如何防护 DDoS攻击
目前DDoS攻击手段越来越复杂、攻击流量越来越大等情况,如何有效防止IDC遭受DDoS攻击所带来的巨大损失,对此魏尚俊表示:“首先上海联通与华为技术在构建云清洗方案时有几个特别关注的性能,第一是高容量,跟业界各种安全专家企业方案设计相比,普通的云清洗设备容量一般在几十个G左右,而华为设备容量可扩展到T级,也就是说在建设初期就已经考虑到后期的兼容性和扩展性问题。第二华为方案采用了大数据分析技术,并有专业的安全团队分析全球最新的攻击工具及方法,如对僵尸网络活动进行追踪,并将研究结果以僵尸网络IP信誉、攻击特征库的形式更新到现网设备上,让防护更加高效和精确。第三华为方案采用了SDN技术,可从源头过滤攻击流量,亦可实现智能引流清洗,在发生大流量DDoS攻击时,最大限度地保护联通的网络带宽。”
另外,魏尚俊还表示,“后期上海联通还会针对不同客户采用差异化的防护策略,不仅仅在城域网采用逐包检测+清洗的防护方案对IDC、ISP客户提供防护服务。对一些重要的VIP客户,我们还会考虑在客户网络接入处增加一个小型硬件设备,实现检测及客户网络带宽范围内对DDoS攻击进行清洗,真正实现快速有效的云清洗。”
利用大数据技术预防DDoS攻击
而在利用大数据技术防范DDoS攻击方面,华为交换机与企业通信产品线安全产品经理杨莉表示:“大数据技术主要体现在对流量模型的学习过程方面,华为基于全流量逐包方法建立的攻击检测模型支持60多种之多。其特点主要包括两部分:首先系统会自动学习客户网络的业务访问流量模型,这个流量模型经过长时间的学习,形成防护网络流量模型的 baseline。其次,还会将业界流行的DDoS攻击定义为异常的流量模型。系统会利用这些流量模型实现攻击预警,快速发现攻击。”
另外,杨莉表示,“防御过程当中也会运用到大数据分析技术,防御系统向全球分析、共享的僵尸网络IP信誉(僵尸网络IP分析过程和信誉评估过程本身就是一种大数据技术),并通过本地IP信誉白名单及黑名单机制,高效过滤业务流,提升用户体验,同时直接阻断位于黑名单列表的源IP的流量,提升防御效率。”
防止IDC沦为“僵尸云”
相信大家都有所耳闻亚马逊云沦为“僵尸云”的报道。对此,杨莉也表示,“华为Anti-DDoS方案在针对DC的防护上,不仅支持传统的Inbound(对内) DDoS攻击防护,还支持Outbound(对外) DDoS攻击防护,针对Outbound DDoS攻击。传统DC和云DC的服务器因为具有优势的计算能力、超大可用的网络带宽以及实时在线性,很多都沦为了僵尸主机,成为网络异常流量的源头。
同时,杨莉认为,“针对DC的Outbound DDoS防御不适合采用传统的DDoS防御技术,由于源认证引起的流量会使DC内部带宽雪上加霜。华为系统采用包括僵尸网络IP信誉、僵尸网络通讯报文特征,还有C&C域名等僵尸网络检测技术来识别、阻断僵尸网络控制报文。因此,即使DC内部服务器感染了僵尸网络,来自C&C的控制报文因被阻断,得不到命令,自然就解除了DC内部服务器中僵尸之后向外发起异常流量的攻击威胁。针对DC的Outbound DDoS攻击防御是华为方案的主要特点之一,这也是华为方案基于全流量逐包检测所具备的主要优势。”
DDoS云清洗提供差异化服务
据悉,DDoS云清洗服务目前主要服务于上海联通所有企业级用户及IDC、CDN等用户。而针对不同行业用户上海联通也提供了相应的差异化服务,魏尚俊表示:“上海联通云清洗业务的服务对象是基于互联网行业,在互联网上提供业务的客户,不同的客户有不同的业务场景,如机场、校园网、网吧防护需求因业务不同而存在较大差异。校园网主要以远程教育、在线课堂、学术论坛等在线业务为主;机场主要以航班查询、机票预订等在线业务为主,他们的共同特点是容易遭受应用型的CC攻击。网吧客户以游戏为主,客户注重高速网络体验,而网吧的特点是行业间恶意竞争导致的安全事件频发,尤其是以DDoS攻击挤占带宽。不同用户攻击类型不一样,防护需求也不一样,上海联通会针对于不同客户提供基于业务防护需求的差异化防护。
另外,魏尚俊表示:“云清洗服务作为上海联通迈向网络安全领域的第一步。在未来,上海联通准备面向安全服务领域铸造全新的综合品牌,并愿与华为展开进一步合作,包括针对企业安全方面提供企业安全咨询服务、企业安全检测服务等,并在架构实方面实现联动。我们相信通过与华为的进一步合作,上海联通将面向用户提供更多的网络安全产品和服务。”
最后,我们不得不说,华为在大数据及SDN技术方面的不断发展创新,无疑为网络安全市场注入了一股新鲜力量,为安全服务提供商及用户实现DDoS攻击防御及业务创新提供了基础保障,并从“源头”做起,有效保障了IDC及企业业务的安全流畅运行。