IKER
2020.07 第7期
云时代下 IKG网络安全之路
——记对安防产品、安全系统研发的理解和思考
GLOBAL LAYOUT WITH LOCAL SERVICES
本期主题
云时代下 IKG网络安全之路
——记对安防产品、安全系统研发的理解和思考
随着数字经济的发展,5G、物联网、人工智能等新技术的全面普及,以牟利、恶意竞争为目的的DDoS(分布式拒绝服务)攻击也日益猖獗,从原来的的几兆、几十兆,到现在的几十G、几十T的流量攻击,形成了一个完整的黑色产业利益链。DDoS攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会尤其以互联网盈利的企业如金融、电商、游戏等企业带来了极大的危害。如果企业业务系统频遭DDoS攻击,会严重影响企业业务的正常运营甚至中断,这就会造成企业形象受损、客户流失、数据被窃取、收益降低、运营成本增加等一系列危害。因此,构建一个强大的安全防御系统,引入多层次安全机制和防御技术,提高网络安全性,对于企业来说具有非常重要的作用。
在这样的趋势下,IKG的网络安全是如何规划的呢?安防产品都能防御哪些攻击,他们的防御机制及布防模式是什么?安防产品与市场同类产品对比卖点及优势价值是什么?
欢迎大家阅读本期内刊精彩内容。
编者按
温馨提示:企业内刊为内部阅览资料,禁止外传,谢谢大家支持!
产品运营与技术服务部
主要负责防御业务整体运营、清洗中心项目方案的建设和实施、防御产品测试、防御方案定制、7X24小时售后服务等相关工作
主要负责网络安全产品的研发、现网在网产品提供技术支持等工作,如X86平台的Anti-DDoS防火墙、Anti-DDoS+Anti-CC防火墙研发与迭代升级等
安全系统研发部
技术服务工程师
陈恳
技术服务工程师
刘杉杉
项目经理
朱怡
负责人
王志辉
网络安全高级开发工程师
唐超
DDoS防火墙开发组长
郁超然
(部分员工风采展示)
(部分员工风采展示)
负责人
艾又文
目录
云时代下 IKG网络安全之路
——记对安防产品、安全系统研发的理解和思考
DDoS攻击 &CC攻击 防护详解
安防产品应用场景解读
创新技术为网络安全发展插上腾飞的翅膀
倾听客户的声音
总 编:周前竞(Joe)
主 编:杨 东(Edward)
执行主编:姜 婧
责任编辑:韩艳秋
马琦涵
美术编辑:盛祥鹏
攻防是一个博弈过程——记安防产品整体布局和规划
编者按
公司动态
IKER
公司动态
7月9日
《增盈海外 一站式打通游戏企业出海“全线”脉络》 游戏出海私享会
7月9日,IKGLOBAL携手腾讯云在成都举办以《增盈海外 一站式打通游戏企业出海“全线”脉络》为主题的游戏出海私享会。会上,IKGLOBAL网络规划与发展副总监·董砚和腾讯云·产品专家架构师汤响平分享了网络部署、用户增长、支付等全链路出海经验。
7月31日
IKGLOBAL应邀参加上海《休闲游戏出海开发者肆玩会》活动
7月31日休闲游戏出海开发者肆玩会在上海举行,IKGLOBAL网络规划与发展总监董砚在会上与大家分享了如何通过底层基础设施、网络精准覆盖提升玩家游戏体验,提高玩家留存率以及整个游戏生命周期的降本增效问题,助力游戏企业/发行商提高变现能力,获得在场嘉宾的阵阵掌声。
攻防是一个博弈过程
——记安防产品整体布局和规划
安防圈比较流行一句话“攻防是一个博弈过程”,不可否认,有网络的地方就会有恶意攻击,尤其是在数据价值越来越高的今天,随着安全防御技术水平的提高以及5G、人工智能、物联网等新兴技术的不断涌现,也令网络安全这场攻坚战更加白热化。
术。目前这两种技术公司和安防运营部门都已经在完成预演和学习,目前正在部署和实施的过程中。
3、越来越多木马电脑和IOT设备沦为肉鸡,传统的防火墙很容易就被穿透,因为早期的防火墙的主要解决的是发包机伪造源的流量和连接攻击,而木马电脑和IOT设备确是真实存在的IP和设备。对此我们需要关注最新的攻击手法和方式,自研防火墙,转发集群,业务监控系统等不断提高安防产品运营技术能力,同时对安防技术服务进行不断的攻防演练,交流,经验分享,打造一支能够主动预警,识别攻击,快速布防的技术服务团队。
4、游戏行业是DDoS攻击的重灾区,也是攻防的最前线和制高点。只有在这里才能够打造出有竞争力的产品和团队,所以会聚焦游戏行业进行深耕。
了解我司安防产品整体布局和规划之前,先了解下目前市场网络攻击的发展和现状。
1、DDoS攻击峰值越来越高,大流量的攻击屡见不鲜;
2、全球攻击源主要集中在经济和网络发达地区,中美俄等国是主要的聚集地,国内主要集中在东北和东南沿海地带;
3、木马电脑和IOT设备越来越多的沦为黑客的肉鸡;
4、游戏行业是DDoS攻击的主要目标,主要源于同行竞争;
安全是一个博弈对抗的过程,网络安全的本质是攻防对抗。面对日益严峻的网络形式需要我们像黑客一样思考,探索应对黑客攻击的方法, 通过模拟黑客攻击来不断提升安全防护的能力和运营团队,为出海企业打造更安全、更流畅的网络环境。
清楚了攻击发展态势后,再来看看我司安防产品是如何布局规划解决上述问题的。
1、积极融入安防市场生态圈,与海内外各家运营商,IDC公司合作共建大型清洗中心,不断提升DDoS防御峰值;
2、积极布局海内外清洗中心,目前已建成美国圣何塞清洗中心、洛杉矶清洗中心,菲律宾马尼拉清洗中心,中国电信香港清洗中心,华南广东江门清洗中心,华东浙江台州清洗中心等防御能力部署,未来计划在欧洲和日本建成大型海外清洗中心,完成华南第二清洗中心,华东第二清洗中心以及东北清洗中心的部署。从而在布防区域,防御峰值和技术上真正做到近源清洗。说到近源清洗就不得不提全局负载均衡GSLB(Global Server Load Balance)智能调度中心,目前GLSB的技术实现主要有两种,第一种是通过DNS调度,第二种是Anycast任播技
安防产品及全球清洗中心资源图
目前我司安防产品主要是防御DDoS攻击和CC攻击。那么到底什么是DDoS和CC攻击呢?
DDoS攻击&CC攻击 防护详解
DDoS是Distributed Denial of Service的缩写,翻译成中文是“分布式拒绝服务“攻击,DDoS只是一个概称,其下有各种攻击方式,在日常的防御任务处理中,常见的主要有TCP攻击、UDP攻击、CC攻击等。
防御机制 :
1. 攻击者模拟发起请求后,SYN数据包会先到达防火墙,防火墙会回复一个错误的SYN + seq(序列号) ,因为TCP是可信传输机制,所以如果是真实的请求,客户端会重新发起SYN请求。严格一点会配合丢包,将第一个第二个包都丢掉,真实的请求才会发起重连。
2. 回复真实seq,模拟服务端与攻击者建立连接。真实请求,在建立连接后会传输数据,而攻击则会一直发连接请求,因为攻击只是需要将报文总量发到多少带宽。
DDoS攻击
常见的TCP攻击类型又分 SYN FLOOD、SYN-ACK FLOOD、SYNACK 、TCP分片报文,其基本原理如下:
TCP类型攻击
常见的有UDP反射攻击,UDP FLOOD,UDP FRAGMENT FLOOD,UDP超大报文等。在我们遇到的UDP攻击中,反射攻击最多。其攻击原理如下:
攻击者控制肉鸡去请求解析,如请求解析www.baidu.com 的IP地址 ,请求IP全部模仿为攻击目标的IP,这时所有的NS服务端都会将报文送到真实的受攻击主机那里去。UDP反射攻击一般放大倍数在500多倍,最多的能到达769倍。也就是说,攻击者只需要控制100台主机,发出1个G的请求,就能打出769G的攻击。
UDP类型攻击
防御机制 :
UDP防护,采用限流方式可以很好的防御,因为服务器一般都是对外提供服务的,不涉及到UDP请求,特别是游戏类,没有UDP请求。 UDP报文只在直播推流,视频数据以及DNS解析中使用。然而这些都是服务器向外发的。其他服务器,只需要限制很小的量,能够让服务器自身的DNS请求发出的UDP包能够出去就可以。
众所周知CC攻击是DDoS攻击的一种变相攻击模式,是针对Web服务发起的攻击,攻击者利用网络传输协议中的三次握手漏洞产生大量的无效链接使资源被耗尽,最终导致服务不能正常运行而达到攻击目的,其攻击原理如下:
攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来
漏洞控制浏览器来发动攻击,请求真实的地址,这种可以说是目前最难防护的攻击,需要定制化解决,目前没有人能百分百说能防御这个攻击,不过有这个实力的人非常少,所以目前还不用担心。
CC攻击
攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
常见攻击类型 :
SYN-CC攻击:这种比较常见,黑客直接使用高并发来请求目标导致目标网站或应用无法提供正常服务。防护无非就是常规的并发限制,一般的硬防都可以过滤这些常规的CC攻击。
模拟UA以及常规的百度伪装:这种攻击也算常规伪装,我们遇到非常多,毕竟国内百度爬虫多。目测只要有网站攻击,就一定会出现伪装百度的CC攻击。
浏览器漏洞CC请求攻击:利用浏览器
CC防御机制 :
针对CC攻击,通常采用限制连接数,限制请求频率,查看报文请求数据,请求的UA特征,以及异常报文大小等多种方式进行防御。早期的方法是对源 IP 的 HTTP 请求频率设定阈值,高于既定阈值的 IP 地址加入黑名单。这种方法过于简单,容易带来误杀,并且无法屏蔽来自代理服务器的攻击,因此逐渐废止,取而代之的是基于 JavaScript 跳转的人机识别方案。HTTP Flood 是由程序模拟 HTTP 请求,一般来说不会解析服务端返回数据,更不会解析 JS之类代码。因此当清洗设备截获HTTP 请求时,返回一段特殊 JavaScript 代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。 由于 HTTP/CC 攻击 的伪装方式千变万化,很少有策略或者硬件防护能做到完美清洗,所以针对 HTTP/CC或HTTPS/CC 攻击,我们大多时候需要具备一定技术的网络维护人员根据实时攻击报文分析,灵活定制防御策略。
比如,在日常的防御任务处理中,遇到比较难防御的攻击主要还是CC攻击里针对https的攻击如HTTP Flood攻击,这主要是因为web服务属于IOS协议中的上层协议,而在越上层协议上发动攻击越难以防御。上层协议与业务关联愈加紧密,防御系统面临的情况也会更复杂。HTTP Flood攻击,不仅会直接导致被攻击的Web前端响应缓慢,对承载的业务造成致命的影响,还可能会引起连锁反应,间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。如下图:
攻击者通过下载和建立多个空连接消耗服务器的物理资源,包括CPU、内存、以及业务进程等,导致业务访问缓慢,部分用户无法正常访问。
遇到这种攻击类型,首先通过抓包对数据进行分析,寻找攻击规律和特征进行防护。如下是抓到的包通过wireshark打开后看到的数据,从中可以看到都是https的数据。https的特点是数据加密,也就是无法看到具体数据。我们可以从中判断tcp窗口值是否异常、源ip访问是否异常来拦截攻击者IP。当然,防护不止如此…
针对上述攻击,我们首先调整了防御系统的全局防御参数,限制syn包的数量、缩短tcp空闲保持时间,并且调整了规则策略。这样调整后攻击者的访问IP被防御系统屏蔽掉,但正常的用户IP也有被误封的情况。针对此次攻击,我们最终做法是,在防御系统对防御策略放宽松,尽量减小误封率,漏下来的流量再由服务器进行防御。服务器解密数据包,调整防御策略,剩下的流量已经不足以影响大部分用户访问。
一图读懂DDoS攻击
安防产品应用场景解读
从受到DDoS 攻击的行业分布来看,依次是在线支付、游戏、菠菜等行业,这些行业由于对数据的即时性,连续性要求高,同行业之间的竞争激烈,且每天的流量大、变现快,成为攻击者眼中的“肥肉”,DDoS 攻击的重灾区。一般来讲,客户的业务受到攻击了或者为了防止被攻击会提前购买防御产品。如果将不同防御产品和客户业务类型相结合,为客户定制最佳解决方案,那么防御效果会更佳。
目前我司面向客户提供的防御产品主要包括IDC防御产品、高防IP防御产品、IP路由产品以及云防御产品。下面将逐一为大家介绍不同防御产品的特征以及使用场景。
使用方式:客户的业务服务器部署在我司防御数据中心机房,交付一个或多个防御IP并配置到客户服务器上。
产品介绍:客户的域名解析到IDC防御IP,IDC防御IP部署在机房内部的客户服务器上,访问业务的入向流量先经过我司的防御系统清洗和过滤异常的流量(DDoS和CC),再将清洗完的流量送到客户的业务服务器上。
使用场景及适合的业务类型: 客户业务需部署在我司防御数据中心机房内的服务器上。适合各类业务,如web站点、视频点播业务。需要注意的是,选择不同机房的服务器,延时带宽也不同。如用户终端多在国内,建议选择国内机房的防御服务。
使用方式:交付一个或多个高防IP提供给客户使用,客户将源服务器IP和源业务端口提供给我司防御技服人员,技服人员将在平台配置回源转发。如:客户源IP为114.114.114.114,源端口为80,交付给客户的高防IP为156.227.67.8。技服人员将在防御平台配置一条回源配置:156.227.67.8:80 →114.114.114.114:80,同时客户业务域名A记录解析到高防IP。
产品介绍:将客户的域名解析到高防IP,高防IP在我司机房内部,前置部署防御系统。所有到达高防IP的入向流量都会先进行清洗过滤。完成此步骤后,通过机房内部的转发服务器将清洗完的流量送回到客户源站服务器。
应用场景及适合的业务类型:适合在我司机房内未租赁购买使用服务器的客户群体,高防IP防御产品不要求客户的源站服务器在我司机房,只要保证客户的源站服务器IP通过公网可达就可以部署使用。适合网站、对延时要求不高、业务带宽低的客户使用。
IDC防御产品
高防IP防御产品
使用方式:交付5个防御IP给客户,客户在香港机房的服务器上部署使用。
产品介绍:小流量攻击的时候流量直接在香港清洗节点进行清洗,大流量攻击的时候,流量会切换到圣何塞进行清洗防御然后专线回源到香港服务器。
使用方式:交付1个香港无防IP和1个圣何塞的防御IP以及1个高防域名给客户,客户提供源站IP和端口由防御技服人员配置转发回源,客户将域名解析Cname到高防域名即可使用。
产品介绍: 用户的访问流量通过域名→高防域名后到达交付的圣何塞和香港的IP。其中,国内用户访问业务解析到香港IP,海外用户访问解析到圣何塞的IP。因此,不同区域的用户访问速度都会有显著的提升效果。由于香港资源限制,分配的香港IP只有100M入向流量,当其入向流量达到100M后将会自动切换解析线路到圣何塞进行访问,当香港IP入向流量小于100M后线路解析自动切回。需要注意的是:切换是分线路的,如:香港IP的电信方向入向流量达到100M,将会把IP在香港机房的电信方向下黑洞,并将电信方向的解析切到圣何塞机房。其他线路也是如此。
IP路由产品
云防御产品(内测)
使用场景及适合的业务类型:客户业务需部署在我司香港机房的服务器上。适合对业务延时要求较高的客户,如视频、游戏等客户。
使用场景及适合的业务类型:
客户业务服务器不在我司机房。对业务访问延时和防御都有很高的要求,适合网站以及其他无需大量带宽的业务类型。
产品名称 | 交付产品 | 支持机房 | 特点 | 推荐业务类型 |
IDC防御产品 | 1个或多个防御IP | 广东江门、香港、菲律宾、圣何塞、洛杉矶、浙江台州 | 机房内部署业务、无需转发流量,线路稳定无中间瓶颈 | 网站、游戏、视频以及其他业务 |
高防IP产品 | 1个防御IP | 广东江门、圣何塞、浙江台州 | 支持四层、七层转发, 最高800G超大流量清洗, 秒级开启清洗服务 源站可在全球任意区域 | 网站以及其他业务 |
IP路由产品 | 5个防御IP | 香港、圣何塞 | 800G超大流量清洗 自动调整防御策略 专线回到香港 秒级开启清洗服务 | 网站、游戏、视频以及其他业务 |
云防御产品 | 2个防御IP 1个高防域名 | 香港、圣何塞 | 支持四层、七层转发 高防域名智能解析线路 支持缓存功能 有攻击自动切换线路 | 网站以及其他业务 |
钰盾防御产品
创新技术为网络安全发展
插上腾飞的翅膀
网络安全一直是我司研发和战略布局的重点,除我司现网应用外,目前已经为上百家客户提供了安全服务,曾助力客户成功抵挡外部2T的反射攻击。而这一切都离不开技术创新带来的竞争优势。安全系统研发作为网络安全发展道路上的创新引擎,为网络安全产品尤其为防御DDoS攻击和CC攻击的安防产品注入了强劲的技术动力。
随着DDoS攻击的智能化水平增强,DDoS不再是流量的野蛮对抗,而是智能攻防的对抗,而传统解决方案因其设计之初并未考虑对DDoS攻击的防护要求,传统防御DDoS攻击的手段如防火墙、入侵检测系统、路由器和交换机等并不能全面的对DDoS攻击进行有效的检测和防护。
基于此,安全系统研发部提出了NG Anti-DDoS(下一代Anti-DDoS)的概念,新系统不再是简单的单台防御设备,而是一个完整的智能防御体系。它提供单台最大80Gbps的DDoS攻击线速防护能力(不带CC攻击防御,旁路部署方式),应用自主研发的高性能抗拒绝服务攻击算法和智能参数阈值,针对不同种类的 DDoS 攻击采用不同的算法(例如TCP重传验证、源地址验证、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等)进行识别,从而准确的区分出恶意的 DDoS 报文和正常访问的网络数据报文,实时对这些攻击流量进行阻断处理,保障业务正常访问。具体防护功能如下所示:
可有效防护SYN Flood、UDP Flood、ICMP Flood、ACK Flood、Smurf、Land-based、Fragment Flood及其他各种常见传输层攻击。
可有效防护HTTP Get Flood攻击,TCP连接耗尽攻击,TCP空连接攻击等针对web服务的攻击。
支持集群部署,利用DDoS防护集群,防护容量可以高达几百G,可使整个系统抵御海量DDoS攻击。
基于IP信誉度及IP行为分析的智能防御,可有效提高防御的准确性。
基于对安全系统研发的持续投入及技术创新攻坚,在基本的防御功能方面,我司的Anti-DDoS系统和Anti-CC系统已经达到行业如金盾、绿盟等企业同等水平。并且其技术架构更适合云化和虚拟化,这是金盾和绿盟所不具备的。除了技术创新优势外,我司的防御产品还具有以下优势:
产品维度优势:
1、防御能力:DDoS防御能力可达到T+级,满足游戏、APP、网站、金融等各类型的业务要求。
2、海量防御IP数:支持60W的防御IP数量。
3、清洗精度:对于小于64字节的包可达95%的线速防御,大于64字节的包可达100%防御。
4、防护带宽:入口带宽为国内线路和海外线路带宽,可有效防御海内外提供的带宽容量以下的各类DDoS攻击。
5、响应时间:各类攻击威胁快速响应,秒级响应能力,保证了具有极好的防御效果。
随着中国互联网事业飞速发展,可以预见的是DDoS 攻击事件数量也会持续增长,攻击规模会更大,损失也只会更大。游戏、视频、互联网金融等高速发展的行业也必须有所对策以保护其投资、利润和服务。Anti-DDoS系统提供了业界领先的海量DDoS防护能力,灵活的部署方式,接下来还会沿着现有产品如X86平台的Anti-DDoS防火墙、Anti-DDoS+Anti-CC防火墙等进行持续研发与迭代升级,为客户的业务系统提供强有力的安全保障。
运维服务维度优势:
1、7 ×24全天候:运维团队提供7×24小时全天候响应请求,服务响应及时。
2、专业:活跃在国内外网络安全攻防第一线,并拥有多年的海外运维经验。
3、快速:检测平台提供的流量报表、可视化图表、告警通知等运维工具,可以快速的检查和发现系统中的流量异常,攻击行为。
4、背景:依托多年来服务于数据中心用户的业务经验和专业能力,能够为客户提供最佳的安全体验。
倾听客户的声音
◉ 问: 高防IP是否支持多源站?
答:高防IP支持IP,域名,端口转发到不同域名的源站。
◉ 问: 域名需要备案吗?
答:香港和海外机房不需要备案,国内机房需要备案。
◉ 问: 源站在其他机房可以用吗?
答:可以,在任意机房都可以,只要路由可达。
◉ 问: CDN的可以用吗?
答:可以,用法一样的,只需要将要防御的域名A记录指向防御IP就行。
客户通常比较关心的重点问题:
北京|重庆|成都|深圳|美国|香港|新加坡|日本|韩国|菲律宾|台湾
WWW.IK.COM
IKER