5
DDoS的成本非常低,得到這種進攻能力,就像在美國得到槍一樣容易。
Tony Lee 做了如上的比喻,作為前安全寶的聯合創始人、現任百度云安全首席架構師,對于DDoS攻防的血雨腥風可謂司空見慣。(不知道什么是DDoS攻擊?趕快去戳:漫畫告訴你什么是DDoS攻擊?)在他眼里,這種對抗中雙方的地位并不平衡。“正常的用戶業務只需要幾十兆到幾百兆帶寬,這樣的帶寬和黑客們幾十G上百G的攻擊能力并不在同一個數量級,幾槍就會掛掉。”
Tony Lee
鑒于DDoS已經形成了完整的黑色產業,抗DDoS也成為了一門賺錢的生意。自然,抗DDoS能力也成為了各大云安全廠商軍備競賽的重要指標。于是便有了今年9月,由他親自上陣策劃的一場“抗D界”的“重頭戲”——現場進行DDoS攻防演練,并且達到史上最高的1Tbps流量。
這次演練百度云安全分飾兩角,一邊拉著帶寬資源豐富的基友樂視云打出了1T流量的攻擊,一邊挺身迎接自己的“拳頭”。Tony 回憶,百度云安全迄今為止防護的最大攻擊流量不到300G。而這次演練大大超越了真實出現過的攻擊強度。如此做的邏輯是:“在你對付恐怖分子的時候,并不確定他們的火力強弱,但為了萬無一失,你要想象他們有導彈。”
除去現場眼花繚亂的攻防示意和隨著攻擊流量攀升的氣氛,這次演練最耐人尋味的部分恰恰是“演練”這兩個字本身。因為在記憶中哪怕最慘烈的軍事演習也不及真正的戰爭中傷亡的九牛一毛。事實上,也有一些人懷疑百度云安全1T演練有“作秀”的嫌疑。根據業內人士回憶,這次演練結束之后,骨干網中國電信的相關人員的電話都被打爆了,人們紛紛試圖搞清當天是否真的有1T流量在骨干網上“奔涌”。
那么,有趣的問題來了:一次演練究竟和一場戰爭究竟有何不同呢?
史上最“劃算”的DDoS攻擊
Tony 告訴雷鋒網,他的團隊試圖真實地模擬出DDoS的攻擊場景。為此,做了如下的努力:
1、攻擊流量約有600G來自國內,約400G來自海外。這和今年大多DDoS攻擊時間中的流量比例類似。
2、攻擊強度是逐步遞增的。因為在真實的攻擊中,攻擊是需要付出成本的。黑客顯然不會在攻擊初期就大量“砸錢”。
3、在攻擊IP中,摻雜了真實IP和虛假IP,平衡了“成本”和“效果”。這和現實情況類似。
4、在攻擊方法上,選擇了配比“流量型攻擊”和“CC攻擊”兩種主流的攻擊方式。
事實上,在提出這個演練的初期,團隊就遇到了問題。1T的攻擊流量需要真金白銀來購買,從運營商購買1T流量用于攻擊,需要花費將近100萬元,而團隊并沒有這個預算。這個問題由于“帶寬大戶”樂視云的鼎力相助而解決了。由于主營視頻業務,樂視云在全球擁有大量的機房和帶寬資源。一拍即合的兩方決定互相“成全”:樂視云用自己的閑置帶寬幫百度“撐場子”;百度用真實的防護能力為樂視云和其他客戶證明自己的實力。這樣的合作讓有可能是史上最貴的一次攻防演練瞬間變成了最“劃算”的一次。
當樂視云愉快地決定扮演“超級黑客”的角色之后,兩方的工程師突然意識到“壞蛋”竟然不是那么好當的。
如果同一個機房發出過大的流量,會被電信直接作為異常請求進行壓制,根本打不出來;而樂視云機房本身也有各種安全策略限制,并不允許發出類似于攻擊的大量請求。最終使用了樂視云全球的127個機房,作為攻擊的最終發起者。這些技術細節,讓我們兩方的工程師面臨了很多難題。由于涉及到海外的流量,團隊的工程師專門飛到了美國合作伙伴CloudFlare的辦公室。因為中美兩國有時差,中國剛下班,正好美國那邊又要開始工作了,有的工程師甚至48小時沒有睡覺。
Tony 說。
這次演練參與的人數也許大大少于外界的猜測。Tony告訴雷鋒網,百度和樂視云的工作人員加在一起,只有七八個人。這些人的大部分工作是事前的部署和事中的監控,攻擊和防御都是自動化完成的。
演習和戰爭
“美國和以色列開發出一種最有效的安檢模式,說來也很簡單,就是安檢員和你說兩句話。經驗豐富的安檢員只要幾輪對話就能看出你不對勁。”Tony用“說兩句話”來模擬對于DDoS攻擊流量的清洗過程。然而,當洪水一般的“人流”沖向安檢口的時候,仍然需要無數的安檢閘機(帶寬)和安檢人員(甄別技術)。面對1T流量的攻擊,消化這些的并不是一個裝置,而是一套系統。Tony 為雷鋒網介紹了主要的三個戰場
1、CloudFlare
CloudFlare是百度云安全在海外的合作伙伴,它的法寶是稱為Anycast的技術。這種技術可以把巨大的流量瞬間分散到各個服務器上,一旦某個服務器被擊潰,立刻把流量自動平衡到剩余服務器上(然而這種技術在國內并沒有實現)。來自海外的攻擊流量,統統由CloudFlare來扛。
2、云堤
云堤是中國電信推出的安全服務,在抗DDoS領域是神一般的存在。之所以是神一般的存在,是因為電信擁有骨干網資源。這意味著那些從全國各地飛馳而來的壞蛋(攻擊流量)是通過電信家的高速公路(骨干網)到達目的地的。一旦某地流量異常,很多人都莫名其妙要上高速公路,云堤就可以根據百度云安全提供的數據實施近源壓制。(如何指揮各處的關卡配合起來識別壞人,選擇在什么地方攔截,取決于每個廠商的不同算法。)
3、超級抗D中心
這是由百度在上海建立的服務器巨無霸集群。電信哥哥放行的流量會沖到這最后一組閘機。在這里,服務器會不斷和來訪的流量“說兩句話”——放行好人,趕走壞蛋。
演練現場數據顯示:流量峰值達到了1040.5G
外界最關心的問題在于,演習當天究竟這三個戰場各承擔了多少攻擊流量呢?對于這些細節,Tony守口如瓶。他表示,為不能讓黑客了解百度云安全的防御部署,不能夠公開具體的部署策略和數據。
縱然這次演習很成功,但和真正的戰爭比起來,也許還有如下的區別:
1、在戰爭中沒有人知道真實攻擊在何時發生,而攻防演練是知道攻擊將要發生的。
2、真實的攻擊中,黑客嘗試一種攻擊手段失敗后,往往會不斷變換、升級攻擊策略。雖然并不是沒有規律可循,但要面對的情況顯然更復雜。這就像在真正的戰爭中,敵人會拿出什么秘密武器,使用什么超級戰術,是無法預知的。
Tony對于雷鋒網的疑問做了解釋:
1、在百度云安全的防御策略中,存在監測機制。在真實的防御中,可以監測流量變化并快速做出響應,可以很好地應對大部分攻擊。
2、演練的時候,進攻方也選擇了更換不同的攻擊方式,采用流量型攻擊混合CC攻擊,盡量模擬了黑客的心態。然而在真實情況中,黑客會嘗試不停地變換攻擊URL和策略,那個時候如果智能算法無法完全應對,則需要安全團隊人工調整防御策略。
需要指出的是,防止DDoS攻擊并沒有完美的方式。例如面對大的流量攻擊,幾乎所有的廠商都會選擇使用電信云堤的近源壓制功能,雖然不同的廠商給電信提供的數據不同,近源壓制所產生的效果也不盡相同。但從原理上講,近源壓制是封鎖了某個“高速入口”,一定會造成“誤殺”。而在真正的DDoS攻擊中,你永遠不知道黑客會如何更換攻擊策略。這就像在真正的戰爭中,你永遠不知道敵人會拿出什么秘密武器,使用什么超級戰術。
如果自己對自己使用“秘密武器”顯然是邏輯悖論。一旦自己了解,這個武器就并不是“秘密”。客觀來講,演習可以做到的最高水平只能止步于此:針對常見的戰術,應對大多數情況下的戰爭情景。如Tony所說,這次演練的目的是展現能力,震懾對手,那么顯然任務圓滿完成了。
優秀的“標準品”
公開資料顯示,阿里云云盾也宣稱自己具有1T的DDoS攻擊防護能力。面對雷鋒網提出的“其他友商是否具有抗1TDDoS攻擊能力”的問題,Tony的回答很自信。
也許有一個友商有這樣的能力,但是能力最終是需要事實來驗證的。而且,我們的機房(超級抗D中心)是建在性能最好卻成本高昂的上海,這是因為要處理大量的流量 ,首先要保證流量進來的道路不被擁堵。上海是網絡上的超級節點,通路很寬。就像一座超級煉油廠,你的煉油能力超強,但是通向你的道路很狹窄,原油都運不進來,這種能力就會大打折扣。
有趣的是,說到這次演練,Tony卻提到了似乎并無關聯的小米。
市場上有很多家云安全的企業,可能他們都說自己的產品不錯。但是由于云安全的專業性,一般的消費者并沒有辦法來區分誰是真實的,誰又是在吹牛。百度也許不敢說是這個行業里最好的那一個,但是我們的演練是想為行業制定一個“什么是好”的標準。
就像當年國產手機行業非常混亂,好的廠商和騙子都在發出自己的聲音,消費者沒辦法選擇。而在小米之后,山寨廠商逐漸衰落。恰恰是因為小米劃出了一條價廉物美的標準線。
優秀的標準品,是Tony給這次演練下的定義。
說到底,演練終歸是演練。如果你把這次排山倒海的1T攻防理解成一種“秀”,似乎并無不可。只不過從中得到的,應該遠比這場秀本身豐富。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
