11月14-15日,2017全球家庭互聯網大會(GFIC)在上海舉行,會議吸引了500+企業、3000+專業聽眾參與。在15日的GFIC亞太CDN年會上,網易云信息安全部技術總監沈明星先生發表了題為《網易云易盾 DDoS 防護實踐》的演講,現場對網易云抗擊DDoS方面的一些演進技術進行了分享。
圖為:網易云信息安全部技術總監沈明星
沈明星表示,從傳統IDC架構像互聯網的云架構嚴謹的品牌,網易云提供基礎的laaS云計算基礎設施的架構,還有云安全。網易的業務非常廣,網易的游戲排名第二,在國內僅次于騰訊,包括郵箱,云音樂,考拉海購,這些在電商,泛娛樂這些網易也在布局。這些業務都承載在網易自己云上面,網易會逐步把自己云上面的積累開放出來。在云安全這塊,隨著云的開放把內部安全的能力往外開放,也包括了DDoS,像內容安全一些文本圖片,像音頻視頻的一些內容的審查和過濾,還有像移動端的APP加固,這一系列的能力。
DDoS在整個行業越來越多,去年發生過一次很大的美國的域名被攻擊事件,導致整個美國大半個互聯網全部淪陷掉。從網易云的實踐來看,以下可能是被攻擊的重點。首先是政府,攻擊政府可能出于背后的政治目的,比如說國家重大事件的時間節點,也可能會攻擊政府的站點。其次是金融,比如說互聯網金融以及很火的現金貸的業務。第三則是游戲,游戲是傳統的被攻擊對象,尤其是在游戲剛剛上線時,非常容易被攻擊。最后一塊是電商,有的攻擊是針對電商平臺,現在在電商平臺上入駐的商家之間導致的DDoS攻擊,后果就是輕則被攻擊的對象直接失去服務能力,業務中斷,更嚴重的會導致整個IDC不可用,堵住整個IDC的帶寬,在這方面,網易也有躺槍的經歷。
四大步驟強化DDoS防護
沈明星接下來介紹了網易云如何做DDoS防護。他表示,首先第一步網易云會對自己的服務器做一些加工,對一些TCP協議層的參數做調優,增強單臺服務器的能力。一般網易云業務需要監控資源的使用率,當資源達到一定容量的時候要有擴容的準備,如果在資源本身達到70%,80%時還不擴容,一但有攻擊,任何清洗和防控不能保證百分之百的擋掉。
除了自身服務器的加固之外,第二個階段是接入運營商側的設備,即采購上游的清洗能力,并向下游的服務商提供這個能力。由于這個設備是廠商的,跟下游聯動會比較麻煩,網易云下游攻擊會通過應急相應的流程,通知運營商來做封堵,開放性API也存在一定問題,流程會比較長,這樣會導致業務受到影響。第二個就是網易云的檢測往往是在下游的,一旦上游運營商做的話,其實我們會發現,就是說我不知道攻擊什么時候停止了,只有當供應商說停止了之后,才能放出來。第三個是采購供應商的設備,現在對于三層四層網絡層攻擊的效果還是可以,還是不錯的,對于一些七層CC層的攻擊,如果這個效果用下來不是特別理想,也會導致下一步的計劃。
第三是網易自研的 NDS 抗D架構。首先,在入口對所有流量分光器,進行流量的分光拷貝,然后分到Detecter設備,做全流量包分析。從一些簡單的協議,斷口,業務,IP,這些最簡單的去統計,其實Detecter,還有離線的去運用分析。一旦發現DDoS攻擊,會通知Manager模塊,通過下發到NDS,把攻擊的流量牽引到NDS上,然后再回收到服務器。這是在網易云機房內部署的一套防護集群跟方案,然而它也有一個缺陷,因為所有的流量都是在本地機房進行清洗,首先它的使用方前提就是必須把業務托管到網易云的機房里面,這是一個限制。其次是整個網易云業務再怎么清洗,帶寬還是有問題的,如果帶寬堵塞,再怎么清洗都沒有用處。
第四步是建立一個高防中心,高防中心跟網易云獨立,是第三方超大出口的機房,里面放了網易NDS設備,主要針對三層和四層流量進行清洗。在它后面又加了一個較大的Nginx,主要做NDS的卸載,防止七層的攻擊,把很多的邏輯卸載的Nginx這一層,通過把所有的流量從第三方機房繞一下,來保護后端的IDC機房。不管用戶在哪里部屬,通過網易高防做一個轉發,所有的流量在互聯網上都可以通,進而取消限制。這樣可以保護網易自己IDC機房的出口,而不會在單個機房被打的時候,導致出口堵死,如果IDC出口比較小,只有40,80的話,很容易由于單個用戶被打導致整個機房不可用,因此在某些情況下,一定要把某些拉到黑洞里面,才能保證可用性。
在設計NDS的一些可用性時,沈明星表示:“我們是基于一些架構而不是專用的芯片,我們現在小包是一千萬,大概有1000萬+PPS,流量40G可以跑滿。我們帶寬擴的時候,直接仍到帶寬上直接可以用,支持水平擴展。然后支持自定義規則,我們基于基層的CC攻擊,傳統的設備廠商這塊上面效果沒有我們自己研發好的相比較一個點,CC攻擊后面講到會基于一些信息庫,我針對整個大數據后排的數據,網易其實有一系列安全的產品,在安全產品接入的用戶中間會去收集和激烈這些信譽庫,這塊對于我們防止CC攻擊,掌握一些主端的機器非常有好處。我們加了一條自定義規則,我們現在還在手機一些常見CC攻擊的一些特征,把它加到特征庫里面去,這種方式我們發現類似于是一個黑名單,這種方式維護起來比較麻煩,好處就是做一些應急響應的時候特別有用,如果有的時候特別怪,就加一個黑名單一個規則,立竿見影。
四大特色功能 多層次立體防護
整個NDS大概立體的層次主要分為以下幾個方面,首先是靜態動態的過濾,有黑白名單,還有ACL過濾,還有TCP狀態機驗證,還有畸形包的過濾。其次是客戶端真實性檢測,像傳統像以前的小包往往會用一些假的IP,用SYNCookie的驗證可以防止大量資源消耗掉,像RESET驗證,TCP反彈驗證和TTL驗證等等。還有就是很重要的特征識別,可以通過特征在任何層次上編寫一個插件,網易有總結出來的插件庫、應用層包括傳統的IS的反射,這個平時不太敢開這個開關,因為現在這塊東西傳統就是對于IS其實是非常好的,但是越來越多的應用就是搞的APP端,現在都是移動端的天下了,對于JS的話誤殺會比較多。HTTP指紋證件都有一定的順序特征,這個做這個驗證。信譽庫驗證比較基于IP,如果這些前面這些措施,過濾發現80%,剩下20%還是會過來,網易會采取一些限速的手段。
同時,沈明星還對特色功能做了簡單介紹,首先是基于Intel DPDK平臺和hyperscan匹配技術的高性能平臺和傳統政策表達式的匹配,有時候會匹配包的某一段特征的時,比傳統的提升50%左右。
其次是IP 信譽機制
。首先網易有自己的安全團隊,也在收集網絡上的一些僵尸網絡,主要是僵尸網絡和IP地址。網易會根據活躍時間和同步計算,來實時更新產品IP庫,在網易集團內部會共享IP的信譽庫。
另外還有易盾的反垃圾業務,像一些圖片文本、色情類,涉黃涉政類和廣告類,很多這種人用的IP都是一些代理或者受控的一些主機,這個IP一旦共享之后只要把這部分IP攔掉就會有非常效果,同時郵件的反垃圾系統也會共享這些數據,包括驗證碼和反作弊系統,其中反作弊系統更多是針對一些活動,比如在注冊時防止批量的垃圾注冊,登陸時防止撞庫等一些行為。還有防止一些搶包,秒殺等行為,都需要一些大量的真實IP來做輔助。“網易現在還是掌握這些數據就那么多,當然也在不斷的發展,我們有這個過程不斷重復激烈,用到我們這個里面來,我們發現把這個策略用到7層的CC攻擊,就是傳統的設備廠商在這塊沒有我們做得好,就是這個原因,可以結合很多業務的數據做這個事情。”
在現場,沈明星還舉例介紹了網易云易盾防護實踐的成功案例。他表示:“現在網易云上也有不少的用戶,而且攻擊的人大部分很守時。網易云平臺提供的5G的免費的DDoS清洗能力,第一波抗住了,兩個小時就開始CC攻擊的,CC攻擊比較大,QPS達到了一千一打整個服務就直接爆掉了,沒有反抗能力。前面說有好幾層,有高防的技術中心,還有一個SYNcookie,這個也是協議的一個部分,我塞了一定的ceekie值,看一下對方是不是執行的,是不是把這個帶過來的,如果帶過來我認為它是一個正常人,如果不正常就不會帶這個,來判別是不是正常的訪問,這波還是幫他抗住了,接下來就是到網上發現單純的CC攻擊不行,開始混合攻擊了當然流量非常大了,我們一開始有100多G,后面還在逐步的上升,這個還是前面一層我看到了,有這個NDP包,只要你帶寬大這個防護起來非常簡單,但前提是你前段的設備帶寬足夠大。”
在演講最后,沈明星先生對網易易盾防護進行了的展望,首先是對用戶流量智能的學習,雖然網易自己內部的業務已經運用比較成熟,但是對基于外部模型的分析,由于業務不穩定、存活時間短、業務繁雜等原因,網易將在以后投入較大經歷去做。
另外是深層次的DDoS檢測,現在大流量較明顯的攻擊檢測比較簡單,但是也有很多慢速攻擊,小流量的攻擊,即使放在大流量里帶來的變化也不是很明顯,卻足以把后端的業務打癱,因此這種怎么發現和檢測,也是一個問題。
第三,基于多維度信譽庫(IP,設備,指紋)的清洗策略。基于網易大數據,建立針對用戶IP、用戶設備、用戶指紋等多維度的信譽庫,在DDoS防護時根據信譽進行區分
。
第四,提供客戶端SDK,增加人機識別功能。提供Win,IOS,Android端SDK,采集用戶鼠標鍵盤等操作軌跡,真假人機識別的對抗,未來,網易也將提供這樣的SDK,第一個是收集指紋和設備的信息,第二個可以采集一些手勢鼠標這些點擊的動作來做一個人機識別,現在抗擊這個場景下是不是特別的適用也要特別的考慮,這個比較慢,完全只能做一些事后的分析,可能還是需要一定的延時差,需要做一些事后的補充分析。
微信掃一掃
