互聯(lián)網(wǎng)對人類文明的進(jìn)步影響����,不亞于蒸汽機(jī)發(fā)明對人類文明的影響。
當(dāng)人們享受著網(wǎng)絡(luò)技術(shù)進(jìn)步給生活帶來的便利時(shí)�,也經(jīng)歷了由于底層協(xié)議在設(shè)計(jì)之初對安全性考慮的缺失,導(dǎo)致的今天互聯(lián)網(wǎng)面臨日益復(fù)雜和挑戰(zhàn)性的安全問題��。
網(wǎng)絡(luò)安全問題的6個(gè)基礎(chǔ)領(lǐng)域�,基礎(chǔ)網(wǎng)絡(luò)安全、終端安全��、數(shù)據(jù)安全�、應(yīng)用安全、身份管理以及物理安全衍生出許多細(xì)分領(lǐng)域�,基礎(chǔ)網(wǎng)絡(luò)安全里的DDoS攻擊導(dǎo)致的業(yè)務(wù)可用性,其危害性異常嚴(yán)重和突出����。
芯片技術(shù)和網(wǎng)絡(luò)技術(shù)進(jìn)步讓發(fā)送大流量攻擊易如反掌�。各種瀏覽器內(nèi)核能夠執(zhí)行js�,可以非常容易制作攻擊工具。業(yè)務(wù)環(huán)境的變化包括Web業(yè)務(wù)���、云原生的API微服務(wù)��,容器安全等讓DDoS防護(hù)復(fù)雜度指數(shù)級增大�。
防御吧團(tuán)隊(duì)跟對抗DDoS���,可以說是從TCP的三次握手DoS對抗開始——在那時(shí)還沒有分布式概念�,如果在服務(wù)器發(fā)現(xiàn)了很多syn_rcv連接狀態(tài)����,很不幸這意味著服務(wù)器被拒絕服務(wù)(Denial of Service)攻擊了。
DoS攻擊目的不是為了竊取數(shù)據(jù)��,而是影響業(yè)務(wù)可用性����,一種非常新鮮的攻擊方式。此時(shí)能夠想到SYN Cookie對抗算法的機(jī)構(gòu)或組織��,理所當(dāng)然成為了業(yè)界標(biāo)桿��,代表對抗技術(shù)最先進(jìn)生產(chǎn)力。
SYN Cookie利用TCP協(xié)議棧三次握手來識別正常主機(jī)和偽造源IP����,一種無狀態(tài)的驗(yàn)證方式,既節(jié)省了大量內(nèi)存空間��,又是一種非常高效驗(yàn)證方法���。防御吧跟SYN Flood對抗僅僅是DoS對抗的開始,CC �、UDP、DNS��、ICMP等flood接踵而至�,演變?yōu)榉植际紻oS(DDoS),攻擊流量從最初的幾十M��、幾百M(fèi)發(fā)展到幾百G甚至上T��,自此DDoS對抗掀開了新的篇章�����。
對抗技術(shù)的演變
1. 以信任為基礎(chǔ)的防御技術(shù)
當(dāng)DDoS攻擊手法發(fā)生變化時(shí)�����,對抗技術(shù)也在發(fā)生演變,但始終圍繞著信任展開����。SYN Cookie DDoS算法通過傳輸層協(xié)議驗(yàn)證真實(shí)主機(jī),CC防護(hù)通過HTTP協(xié)議驗(yàn)證真實(shí)瀏覽器�����,DNS的TC防護(hù)或CName算法用應(yīng)用層協(xié)議驗(yàn)證是否為正常請求��。
這些算法都是利用了協(xié)議交互屬性�,設(shè)計(jì)用戶最小感知的侵入式驗(yàn)證算法,來達(dá)到驗(yàn)證IP真?zhèn)����。然而好景不長,互聯(lián)網(wǎng)普及����,網(wǎng)絡(luò)上催生了大量僵尸主機(jī)。防御吧在日常攻防對抗中��,發(fā)現(xiàn)Bot能夠輕易突破各種算法驗(yàn)證,攻擊次數(shù)和強(qiáng)度越來越大���。
面對這種威脅��,防御吧采用了更高級的人機(jī)對抗技術(shù)�,包括各種圖片驗(yàn)證碼����、語音識別、語義識別����,這些算法對HTTP協(xié)議表現(xiàn)出良好防護(hù)效果���,對HTTPS防護(hù)又是另一更難的鴻溝�����。
隨著對抗的升級�,一些更高級行為信譽(yù)算法開始誕生��,包括各種重傳算法��、時(shí)序檢查機(jī)制���。當(dāng)單一算法無法滿足防護(hù)需求�,行為信譽(yù)可以作為適當(dāng)補(bǔ)充。
2. “借刀殺人”大行其道
與此同時(shí)另外一種危險(xiǎn)攻擊開始流行起來�����,很多無狀態(tài)攻擊如UDP flood�����,通過帶寬堵塞來達(dá)到攻擊目標(biāo)�。借刀殺人的攻擊開始在網(wǎng)絡(luò)上大行其道,很多無辜主機(jī)被動(dòng)的卷入了大流量反射攻擊��。
防護(hù)對抗升級很多時(shí)候演變?yōu)槿斯�,通過人工識別攻擊流量,甚至引入AI技術(shù)來幫助識別攻擊流量�。反射攻擊威力來自于參與攻擊的源IP本身就是正常IP。如果攻擊流量與正常流量混合�,現(xiàn)有信任體系是很難根據(jù)行為和交互做辨識。
3. 防御手段多元化發(fā)展
當(dāng)防護(hù)技術(shù)棧在發(fā)生變革時(shí)����,防御手段也朝多元化方向發(fā)展,本地防護(hù)、CDN防護(hù)�、高防、運(yùn)營商黑洞路由���、近源清洗等各種手段應(yīng)運(yùn)而生�。
把攻擊消滅在源頭的思想開始出現(xiàn)和普及�。防御系統(tǒng)不再是一個(gè)點(diǎn)的問題,是牽扯全局面的問題�����。
防御吧團(tuán)隊(duì)經(jīng)歷了防護(hù)方案逐漸從最初單點(diǎn)旁路清洗�����,到全球分布清洗中心的變化�����,通過智能流量調(diào)度實(shí)現(xiàn)靠近源清洗��,通過與國內(nèi)外運(yùn)營商合作聯(lián)動(dòng)做上游鏈路清洗����。與其它云廠商和傳統(tǒng)的安全廠商合作,協(xié)同對抗分布式應(yīng)用層DDoS攻擊威脅�����。
面臨的挑戰(zhàn)
DDoS對抗過去將近20多年的歷史�,防護(hù)技術(shù)和手段已經(jīng)上升到前所未有的高度,但是仍然面臨著巨大挑戰(zhàn)���。這種挑戰(zhàn)源來源于互聯(lián)網(wǎng)的開放性基因����。
底層協(xié)議棧有意識解決安全性的缺失問題�����,比如采用IPSec�����、IPv6替換��,但是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施投資非常巨大�����,替換周期長,可以預(yù)見未來5到10年現(xiàn)有狀態(tài)還會(huì)繼續(xù)延續(xù)����。
DDoS對抗當(dāng)前難點(diǎn)是主要基于IP維度建立的信譽(yù)體系的不可靠性。因?yàn)镮P可變性����,包括用戶遷移、IP流轉(zhuǎn)����、IP容易偽造,原有基于IP安全策略會(huì)失效和誤殺可能����。
各種無狀態(tài)協(xié)議,如果沒有從應(yīng)用層協(xié)議去考慮��,幾乎無法應(yīng)對高級攻擊手段攻擊���。大量新型攻擊手法,需要卷入大量人力資源進(jìn)行對抗���。
DDoS對抗依然在一條非常艱難大路上前行�,防御吧團(tuán)隊(duì)一直著手于新技術(shù)和方案研發(fā),積極應(yīng)對環(huán)境變帶來的挑戰(zhàn)��。
云計(jì)算啟示
云計(jì)算從最初彈性存儲(chǔ)����、計(jì)算和網(wǎng)絡(luò)轉(zhuǎn)變到今天云原生的概念。通過在云端部署云原生應(yīng)用���,為計(jì)算�����、存儲(chǔ)和網(wǎng)絡(luò)提供了更高安全性和可用性����。
大量企業(yè)專線網(wǎng)絡(luò)跟云端融合����,企業(yè)網(wǎng)絡(luò)物理邊界變得很模糊,與此發(fā)展而來的零信任網(wǎng)絡(luò)�,軟件定義邊界SDP,基于軟件定義廣域網(wǎng)(SD-WAN)的SASE(Security Access Service Edge)�,如圖1所示,把網(wǎng)絡(luò)即服務(wù)和安全即服務(wù)融合在一起�,為云網(wǎng)融合提供了安全的解決方案����。
以身份為中心的�����,動(dòng)態(tài)驗(yàn)證全新理念顛覆了以用戶名和密碼為中心的一次驗(yàn)證���,永久生效模式��。不僅解決網(wǎng)絡(luò)邊界安全�����,同時(shí)也解決內(nèi)網(wǎng)安全����。在新架構(gòu)下���,即便是有用戶名和密碼���,如果時(shí)間和地點(diǎn)上下文不匹配策略,也得不到資源授權(quán)�。
云網(wǎng)合一,利用零信任網(wǎng)絡(luò)可以構(gòu)建企業(yè)無形安全邊界��,天生具有免疫DDoS的能力���,被防護(hù)的資源是隱身的���,對外不可見。
訪問資源身份都是明確的�,無法偽造身份。然而對開放互聯(lián)網(wǎng)而言��,構(gòu)建可信身份卻存在巨大爭議�����,這涉及到隱私數(shù)據(jù)保護(hù)�,沒有人愿意別人可以通過ID泄漏隱私數(shù)據(jù),網(wǎng)絡(luò)上訪問了哪些網(wǎng)站�、買了哪些物品。網(wǎng)絡(luò)傳輸層缺少一個(gè)更加明確可靠的身份����,IP地址的可變屬性讓其成為身份跟蹤依據(jù)勉為其難。
因此通過合適技術(shù)手段建立用戶身份ID為中心的可信安全網(wǎng)絡(luò)是SASE的核心功能特征�����,這是一個(gè)可信安全網(wǎng)絡(luò),SASE稱之為零信任網(wǎng)絡(luò)����,是一個(gè)沒有邊界的overlay或underlay安全網(wǎng)絡(luò)。
DDoS防護(hù)的安全左移 —— 可信安全網(wǎng)絡(luò)
20多年的DDoS對抗��,防御吧安全發(fā)現(xiàn)DDoS防護(hù)手段也開始變得像如零信任網(wǎng)絡(luò)一樣����,傳統(tǒng)網(wǎng)關(guān)型安全產(chǎn)品邊界開始發(fā)生了變化,防護(hù)系統(tǒng)越來越遠(yuǎn)離服務(wù)端�,觸及延伸到每一個(gè)客戶端。
防護(hù)邊界越來越變得模糊�����,邊界型網(wǎng)關(guān)的防護(hù)需要聯(lián)動(dòng)其它安全產(chǎn)品協(xié)同防護(hù)�。防護(hù)逐漸朝一張無形大網(wǎng)方向發(fā)展。只要在這安全大網(wǎng)中擁有有合法身份����,就可以取得通往訪問服務(wù)器資源的船票,防護(hù)系統(tǒng)能夠高效識別異常攻擊流量。
也許廣泛應(yīng)用的UDP水印技術(shù)��,就是典型安全左移例子������?蛻舳丝梢酝ㄟ^水印取得進(jìn)入這個(gè)網(wǎng)絡(luò)的合法身份�����,能夠發(fā)送區(qū)別于攻擊流量的正常流量���。
然而安全水印技術(shù)并不能解決所有的問題��,互聯(lián)網(wǎng)需要支持更多的協(xié)議�,包括各種HTTP����、HTTP2以及HTTP3.0, 各種overlay和underlay的組網(wǎng)技術(shù)。
雖然SASE只是一種企業(yè)網(wǎng)絡(luò)邊界的云網(wǎng)融合網(wǎng)絡(luò)和安全的一整套解決方案���,但對DDoS防護(hù)來講�,具有非常大的啟發(fā)意義,DDoS防護(hù)是要解決開放性互聯(lián)網(wǎng)網(wǎng)絡(luò)資源的可用性�,因此DDoS可信安全網(wǎng)絡(luò)跟SASE相比,亦有如下的特征:
1. 以身份驅(qū)動(dòng)為主�����、IP為輔的信譽(yù)體系��,具備整個(gè)會(huì)話過程風(fēng)險(xiǎn)/信任的持續(xù)評估能力���。
傳統(tǒng)IP技術(shù)作為輔助性驗(yàn)證手段���,DDoS可信安全網(wǎng)絡(luò)需要建立以身份為中心的實(shí)時(shí)驗(yàn)證技術(shù),保證驗(yàn)證的可靠性和實(shí)時(shí)性���。雖然跟SASE在這一點(diǎn)基本上一致的�,但是設(shè)計(jì)一種輕量級方法支持不同客戶端場景�,比SASE的agent/client方案要求更高。
2. 用戶隱私數(shù)據(jù)保護(hù)
1)基于身份信息的個(gè)人隱私數(shù)據(jù)將受到保護(hù)�����,只用于安全防護(hù)
2)全鏈路數(shù)據(jù)可以根據(jù)需要采用部分加密或明文
DDoS防護(hù)要兼容互聯(lián)網(wǎng)的開放性���,在保障安全的前提下�����,不能泄漏個(gè)人隱私數(shù)據(jù)�����。企業(yè)安全邊界的解決方案�����,用戶ID對資源的訪問是沒有任何隱私可言���?紤]到性能問題���,DDoS可信安全網(wǎng)絡(luò)的數(shù)據(jù)加密不作為強(qiáng)制的手段����。
3. 云原生架構(gòu)
1)DDoS服務(wù)作為Network Security as a Service,具有彈性���、自適應(yīng)性和自維護(hù)功能���。安全運(yùn)營將從剝離對硬件設(shè)備的運(yùn)營����,轉(zhuǎn)換成基于以安全策略為中心的策略運(yùn)營�����。
2)網(wǎng)絡(luò)資源的云原生化����,動(dòng)態(tài)路由尋址,高可用性和彈性
安全能力和資源的云原生架構(gòu)����,DDoS的可信安全網(wǎng)絡(luò)跟SASE表現(xiàn)是一致的。
4. 全球分布����、高性能
DDoS防護(hù)需要支持全球分布的不同類型客戶。需要建立pop接入點(diǎn)�����,盡可能靠近客戶�,作為安全的接入點(diǎn)��,提供時(shí)延最小的防護(hù)能力和資源獲取能力�����。
總結(jié)和展望
當(dāng)基于IP信譽(yù)系統(tǒng)在對抗DDoS過程中����,表現(xiàn)出越來越大挑戰(zhàn)時(shí)����,當(dāng)防護(hù)算法優(yōu)化已經(jīng)到極致,仍然難以對抗復(fù)雜多變的攻擊時(shí)���,防護(hù)思路需要調(diào)整。
一種全新基于用戶ID的可信網(wǎng)絡(luò)���,讓安全防護(hù)左移����,擴(kuò)大可信網(wǎng)絡(luò)安全邊界�,觸及到每個(gè)正常用戶,將給DDoS對抗帶來新的思路�,一種不算很新的降維打擊方式����。
以往通過各種復(fù)雜算法組合難以解決的問題����,此時(shí)可以得到有效解決。然而可信安全網(wǎng)絡(luò)的建立����,需要合法有效身份,這與互聯(lián)網(wǎng)開放基因是自相矛盾的�����,這是一個(gè)巨大難點(diǎn)����。
SASE也許是云的未來,其核心理念:物理網(wǎng)絡(luò)邊界消失或弱化��、基于SD_WAN組網(wǎng)技術(shù)���,以用戶ID和上下文為中心的策略驗(yàn)證��,在開放網(wǎng)絡(luò)里建立其overlay可信網(wǎng)絡(luò)�,仍然對DDoS對抗具有重要的意義。
當(dāng)區(qū)塊鏈�、零知識證明等大量新概念(不是新技術(shù))出現(xiàn)時(shí),防御吧團(tuán)隊(duì)看到了更多曙光��。DDoS對抗不再是一個(gè)獨(dú)立實(shí)體能夠完成的事情���,需要更廣闊合作��。
防御吧將持續(xù)對前沿安全技術(shù)進(jìn)行研究���,包括:輕量級身份認(rèn)證技術(shù),可信安全網(wǎng)絡(luò)組網(wǎng)技術(shù)��、AI高級對抗����,以期待為用戶提供更安全的網(wǎng)絡(luò)和資源服務(wù)能力���,并期望跟合作伙伴���、基礎(chǔ)設(shè)施運(yùn)營商甚至競爭對手開展合作,共同應(yīng)對安全的未來����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
