華為借助防御自動(dòng)駕駛實(shí)現(xiàn)云原生CC防御全程自動(dòng)化

2021年，分布式云成為云計(jì)算領(lǐng)域關(guān)注的熱點(diǎn)。經(jīng)過一年時(shí)間的探索與沉淀，分布式云開始從理論走向?qū)嵺`，諸多云計(jì)算頭部企業(yè)夯實(shí)分布式基礎(chǔ)設(shè)施建設(shè)、優(yōu)化分布式資源調(diào)度、開發(fā)分布式應(yīng)用，為構(gòu)建分布式云打下了堅(jiān)實(shí)的基礎(chǔ)。

近日，以“引領(lǐng)分布式云變革 助力灣區(qū)數(shù)字經(jīng)濟(jì)”為主題的全球分布式云大會(huì)在深圳隆重召開。在本次峰會(huì)舉辦的分布式安全存儲(chǔ)論壇上，華為AntiDDoS產(chǎn)品研發(fā)總監(jiān)楊莉發(fā)表了題為《IPv6+云時(shí)代DDoS挑戰(zhàn)與對(duì)策》的精彩演講。

隨著互聯(lián)網(wǎng)業(yè)務(wù)向云遷移，DDoS攻擊因簡(jiǎn)單、低廉及難防御成為云基礎(chǔ)設(shè)施最大威脅。從IPv4時(shí)代來看，DDoS攻擊呈現(xiàn)出強(qiáng)度持續(xù)攀升趨勢(shì)，T級(jí)攻擊時(shí)代到來。今年六七月份，全國(guó)多個(gè)機(jī)房遭受到了T級(jí)攻擊，華為記錄的某個(gè)機(jī)房最多一天遭受了9次T級(jí)攻擊；甚至網(wǎng)絡(luò)層CC的攻擊強(qiáng)度也提升至50G-100G。第二個(gè)趨勢(shì)是攻擊復(fù)雜度持續(xù)攀升， 掃斷疊加脈沖，對(duì)云基礎(chǔ)設(shè)施構(gòu)成了巨大威脅。IPv6網(wǎng)絡(luò)時(shí)代，DDoS對(duì)云的威脅會(huì)持續(xù)加劇，云抗D技術(shù)必須有更大的變更，才能應(yīng)對(duì)IPv6時(shí)代的DDoS威脅。

俗話說“道高一尺魔高一丈”，抗D技術(shù)永遠(yuǎn)是跟隨攻擊被動(dòng)發(fā)展?？偟膩碚f，利益趨勢(shì)下，網(wǎng)絡(luò)環(huán)境和互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展變化促使DDoS攻擊形態(tài)發(fā)生變化，為了防住攻擊，防御技術(shù)需要隨之變革。

當(dāng)前網(wǎng)絡(luò)環(huán)境最大變化自然是IPv4向IPv6演進(jìn)。

從協(xié)議安全性角度看，IPv6相比IPv4在DDoS上沒有任何改觀，IPv4面臨的攻擊IPv6幾乎都存在。2018年，CERNET北美網(wǎng)絡(luò)節(jié)點(diǎn)遭受了IPv6 Memcached反射；2021年國(guó)內(nèi)IPv6網(wǎng)絡(luò)層和應(yīng)用層攻擊頻發(fā)，可以說，IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)發(fā)展過程中，IPv4出現(xiàn)過的網(wǎng)絡(luò)層DDoS攻擊和應(yīng)用層DDoS攻擊，IPv6網(wǎng)絡(luò)照單全收。

IPv6的發(fā)展需要經(jīng)歷一個(gè)漫長(zhǎng)的過程，雖然大多數(shù)國(guó)家運(yùn)營(yíng)商IPv6網(wǎng)絡(luò)已經(jīng)建設(shè)完畢，但互聯(lián)網(wǎng)業(yè)務(wù)依然處于以IPv4為主的時(shí)代，所以IPv4和IPv6會(huì)處于長(zhǎng)期共存狀態(tài)，雙棧共存時(shí)期的DDoS攻擊也有新的形態(tài)。首先是雙棧攻擊，一個(gè)業(yè)務(wù)既有IPv4地址又有IPv6地址，兩者會(huì)同時(shí)遭受攻擊；其次，雙棧攻擊時(shí)期，IPv6的數(shù)據(jù)會(huì)通過IPv4隧道轉(zhuǎn)發(fā)，而DDoS攻擊會(huì)隱藏在隧道中，形成IP6over4隧道攻擊。

IPv6協(xié)議在IPv4協(xié)議基礎(chǔ)上演進(jìn)，因IPv6協(xié)議自身特點(diǎn)引入了一些新型的DDoS。首先IPv6的報(bào)文頭引入了擴(kuò)展字段，增加了靈活性，但也因此引入了利用特殊構(gòu)筑的IPv6擴(kuò)展頭發(fā)起的擴(kuò)展頭攻擊。其次，基于ICMPv6的鄰居發(fā)現(xiàn)協(xié)議（Neighbor Discovery Protocol），發(fā)起的NDP flood。

總結(jié)來說，IPv6時(shí)代有三類威脅形態(tài)，第一類是IPv4、IPv6共有的DDoS攻擊形態(tài)，第二類是IPv4向IPv6過渡時(shí)期的DDoS攻擊形態(tài)，第三類是針對(duì)IPv6協(xié)議的攻擊形態(tài)。

針對(duì)這三類攻擊，從防御角度講，主要要做到雙棧防御；針對(duì)IPv6over4流量，一般來說直接做限速即可，因?yàn)檫\(yùn)營(yíng)商IPv6網(wǎng)絡(luò)建設(shè)已經(jīng)非常完善，不應(yīng)該出現(xiàn)IPv6over4流量，尤其是國(guó)內(nèi)各種云已經(jīng)不存在IPv6over4流量，如果的確有這類特殊場(chǎng)景，建議把隧道做白名單管理，其它隧道流量直接做限速；對(duì)IPv6流量則默認(rèn)提供報(bào)文頭合法性檢查，以及NDP流量限速。

IPv6另一個(gè)特點(diǎn)是地址無限， 這導(dǎo)致IPv6時(shí)代主流DDoS攻擊形態(tài)包括虛假源網(wǎng)絡(luò)泛洪、UDP反射、TCP反射、掃段、CC攻擊的攻擊強(qiáng)度相比IPv4時(shí)代會(huì)更加猛烈。

大流量攻擊頻發(fā)，且攻擊成本廉價(jià)，經(jīng)常不足百元就能發(fā)起大規(guī)模DDoS攻擊，但防御需要花費(fèi)數(shù)萬甚至數(shù)百萬。而攻防對(duì)抗本質(zhì)上是成本對(duì)抗，因此，防御技術(shù)亟待變革。

以華為自身為例，5年前，抗D算法以CPU即C碼實(shí)現(xiàn)為主，即“軟防”，面對(duì)日益攀升的攻擊強(qiáng)度，沒有任何成本優(yōu)勢(shì)，不得已、華為摒棄單一的“軟防”，借助專業(yè)硬件即NP（Network Processor）防御網(wǎng)絡(luò)層大流量攻擊，即“硬防”。針對(duì)單節(jié)點(diǎn)的云，可以有效降低防御成本。

此外，面對(duì)T級(jí)攻擊常態(tài)化態(tài)勢(shì)，對(duì)任何云而言，邊界On-premise防御失效；為了解決這個(gè)問題，有些云會(huì)借助T級(jí)高防預(yù)洗攻擊，干凈的流量回源到云，但自建高防成本較高，畢竟攻防本質(zhì)上就是成本對(duì)抗，防御如果成本太高，等于防御失??；還有一些云會(huì)借助運(yùn)營(yíng)商的云云清洗在網(wǎng)絡(luò)上游攔截攻擊，但同樣面臨成本高的問題，同時(shí)運(yùn)營(yíng)商云清洗還存在調(diào)度慢的問題，T級(jí)攻擊多是秒級(jí)加速（2021年多個(gè)攻擊樣本統(tǒng)計(jì)結(jié)果顯示每秒加速可高達(dá)70G以上），且攻擊持續(xù)時(shí)間短到不足2分鐘，結(jié)果調(diào)度還未完成，攻擊就已經(jīng)結(jié)束了。

楊莉表示，國(guó)內(nèi)頭部云廠商主流的做法，是依托云骨干和邊緣節(jié)點(diǎn)，利用Anycast的調(diào)度，形成全網(wǎng)分布式近源清洗網(wǎng)絡(luò)，但受國(guó)內(nèi)運(yùn)營(yíng)商網(wǎng)絡(luò)環(huán)境限制，很難真正做到路由隨時(shí)隨地的Anycast，因此也引發(fā)出一種叫做運(yùn)營(yíng)商代播的技術(shù)。

掃段攻擊已經(jīng)成為互聯(lián)網(wǎng)公害，幾乎所有網(wǎng)絡(luò)層DDoS攻擊形態(tài)都可以被用來做掃段，近年來數(shù)十甚至上百的C段同時(shí)被攻擊已經(jīng)成為云面臨的最普遍網(wǎng)絡(luò)威脅。到了IPv6時(shí)代地址海量，有可能出現(xiàn)上千C段同時(shí)被掃段的情況。

楊莉舉例說，2021H1，香港100多個(gè)C段同時(shí)被攻擊，到每一個(gè)目的IP地址的攻擊報(bào)文速率不到100PPS，對(duì)單目的IP而言，無法觸發(fā)防御，這類掃段攻擊叫做“單IP低速掃段”。

雖然攻擊對(duì)單目的IP而言，沒有形成直接的DDoS威脅，但因?yàn)橥瑫r(shí)被攻擊的IP數(shù)量龐大，所有IP加起來形成的攻擊強(qiáng)度還是比較大的，最終導(dǎo)致機(jī)房的帶寬擁塞，整個(gè)機(jī)房的業(yè)務(wù)受損。還有一種掃段是“單IP高速掃段”，“單IP高速掃段”是指攻擊速率高，能觸發(fā)每一個(gè)目的IP的防御，但要求云邊界抗D系統(tǒng)具有高并發(fā)主機(jī)防護(hù)能力。

2021年，掃段攻擊復(fù)雜化，疊加了脈沖攻擊形態(tài)，使防御更加困難。過去單IP流量太大危及云基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全，云通常采用秒級(jí)黑洞保護(hù)云自身網(wǎng)絡(luò)，但是掃段無法使用黑洞，如果對(duì)被攻擊的C段全部采用黑洞則大部分網(wǎng)絡(luò)也會(huì)被切斷，相當(dāng)于殺敵一千自損八百。

針對(duì)IPv6面臨掃段攻擊更嚴(yán)重的情況，華為采用三層防御架構(gòu)，對(duì)單個(gè)云網(wǎng)絡(luò)來說是兩層防御，即第一層網(wǎng)段防御，第二層是主機(jī)防御，網(wǎng)段防御層過濾掃段攻擊，保護(hù)云網(wǎng)絡(luò)，主機(jī)防御層過濾傳統(tǒng)的針對(duì)單IP的DDoS攻擊，保護(hù)云租戶業(yè)務(wù)。

如果掃段攻擊流量大到危及云網(wǎng)絡(luò)鏈路帶寬，則啟用BGP flowspec，在運(yùn)營(yíng)商網(wǎng)絡(luò)阻斷掃段攻擊，將對(duì)云的攻擊損失降低到最小。當(dāng)前運(yùn)營(yíng)商已經(jīng)逐步采用BGP flowspec替代傳統(tǒng)的單一的基于黑洞路由的流量封堵技術(shù)。

同樣，為了獲利，互聯(lián)網(wǎng)業(yè)務(wù)發(fā)生變化亦驅(qū)使DDoS攻擊形態(tài)發(fā)生變化，最終引發(fā)抗D技術(shù)隨之變革。過去互聯(lián)網(wǎng)業(yè)務(wù)以網(wǎng)站為主，結(jié)果以WEB CC為主。如今互聯(lián)網(wǎng)業(yè)務(wù)復(fù)雜了，針對(duì)APP的CC攻擊，針對(duì)云微服務(wù)API的CC攻擊日漸猖獗。

另外，80%的流量都加密了，但DDoS攻擊并沒有因?yàn)榧用芏鴾p少，反而讓防御更加困難，再加上隨著IPv6發(fā)展，5G、物聯(lián)網(wǎng)興起，海量僵尸主機(jī)越來越廉價(jià)，導(dǎo)致CC攻擊速率越來越高。

互聯(lián)網(wǎng)業(yè)務(wù)變化對(duì)防御技術(shù)產(chǎn)生的影響非常大，可以說傳統(tǒng)防御技術(shù)失效。首先，過去網(wǎng)站防御通常采用基于重定向的源挑戰(zhàn)認(rèn)證技術(shù)，但這類防御技術(shù)不能應(yīng)用于APP和API業(yè)務(wù)防護(hù)，不僅認(rèn)證強(qiáng)度不夠，攻擊會(huì)繞過，關(guān)鍵APP和API訪問會(huì)中斷。

其次，針對(duì)加密攻擊，很多廠商提倡的是解密防御，但解密防御的性能非常低，導(dǎo)致邊界抗D喪失成本優(yōu)勢(shì)，最重要的是會(huì)成為網(wǎng)絡(luò)的性能瓶頸。

最后面對(duì)海量僵尸發(fā)起的低速CC，每一個(gè)僵尸攻擊速率非常低，導(dǎo)致源限速失效。

楊莉提到，針對(duì)這些變化，華為對(duì)HTTP CC及HTTPS CC防御根技術(shù)進(jìn)行了變革，摒棄源認(rèn)證技術(shù)，采用多維度的源行為分析技術(shù)防御高頻CC，同時(shí)引入滑動(dòng)窗口模擬機(jī)器人周期性攻擊行為，提升行為分析識(shí)別CC攻擊的準(zhǔn)確率。行為分析防御屬于非侵入式防御技術(shù)，對(duì)業(yè)務(wù)的兼容性好，且防御性能有明顯優(yōu)勢(shì)。

尤其基于行為分析防御加密CC，不解密防御性能是解密防御的幾十倍，且完美地規(guī)避了邊界抗D解密防御的部署缺陷。近年來AI技術(shù)火熱， AI的智能分類技術(shù)非常適合用于僵尸識(shí)別，華為主要用于防御低頻HTTP CC。

近年云原生安全火熱，過去云邊界抗D主要職責(zé)是防御網(wǎng)絡(luò)層攻擊，但隨著CC攻擊強(qiáng)度大幅度攀升，危及云網(wǎng)絡(luò)基礎(chǔ)設(shè)施，因此云邊界抗D必須過濾大流量CC。比如，2019年3月某云上廣告API調(diào)用遭受175Gbps的CC攻擊，其中25Gbps網(wǎng)絡(luò)層CC，150Gbps HTTP CC。

因此，云原生安全已經(jīng)逐步將CC攻擊納入DDoS防護(hù)服務(wù)看護(hù)范疇。那么，華為云原生安全到底怎么做的？首先針對(duì)網(wǎng)絡(luò)層泛洪攻擊，華為云依據(jù)租戶具體防護(hù)帶寬劃分為不同的防御組，比如10G防御組，50G防御組，依靠專家策略模版，即可做到全程無干預(yù)防御。其次，針對(duì)復(fù)雜的CC攻擊主要 借助“防御自動(dòng)駕駛”實(shí)現(xiàn)防御全程自動(dòng)化。

大家知道，華為的網(wǎng)絡(luò)已經(jīng)成功實(shí)現(xiàn)了“自動(dòng)駕駛”，當(dāng)前DDoS防御華為也在主推 “自動(dòng)駕駛”。所謂“自動(dòng)駕駛”，就是過去CC防御效果不好，全靠運(yùn)維人員手工去調(diào)優(yōu)策略，現(xiàn)在這個(gè)過程是系統(tǒng)自動(dòng)去執(zhí)行。

簡(jiǎn)單來說，就是當(dāng)某IP遭受CC攻擊且出現(xiàn)漏防時(shí)，系統(tǒng)會(huì)自動(dòng)對(duì)被攻擊IP各種維度流量做做快照，自動(dòng)分析、評(píng)估防御效果，找出漏防流量，同時(shí)將被攻擊的IP的防御環(huán)境進(jìn)行克隆創(chuàng)建新的防護(hù)組，基于新的防護(hù)組進(jìn)行防御策略針對(duì)性地收緊調(diào)優(yōu)，同時(shí)持續(xù)進(jìn)行流量快照、防御效果評(píng)估循環(huán)，只有當(dāng)防御后多維度的轉(zhuǎn)發(fā)流量和流量基線相符合，即說明防御效果達(dá)成，此時(shí)停止策略調(diào)優(yōu)過程。攻擊結(jié)束，系統(tǒng)自動(dòng)進(jìn)行攻擊數(shù)據(jù)歸檔， IP防御環(huán)境復(fù)原。

最后，楊莉表示，云網(wǎng)絡(luò)租戶和云主機(jī)數(shù)量龐大，大流量CC攻擊如果還依靠傳統(tǒng)的人工響應(yīng)策略調(diào)優(yōu)，成本將達(dá)到難以想象。華為希望借助防御自動(dòng)駕駛，實(shí)現(xiàn)云原生CC防御全程自動(dòng)化。

原文標(biāo)題：華為楊莉：IPv6+云時(shí)代DDoS挑戰(zhàn)與對(duì)策

文章出處：【微信公眾號(hào)：華為數(shù)據(jù)通信】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。