IKG企业内刊《IKER》(2020.07 第7期)

IKER

2020.07 第7期

云时代下 IKG网络安全之路

——记对安防产品、安全系统研发的理解和思考

GLOBAL LAYOUT WITH LOCAL SERVICES

在这样的趋势下，IKG的网络安全是如何规划的呢？安防产品都能防御哪些攻击，他们的防御机制及布防模式是什么？安防产品与市场同类产品对比卖点及优势价值是什么？

产品运营与技术服务部

产品运营组

主要负责防御业务整体运营、清洗中心项目方案的建设和实施等相关工作

技术服务组

主要负责防御产品测试、防御方案定制、7X24小时售后服务等相关工作

负责人：王志辉

负责人：朱怡

负责人：艾又文

安全系统研发部

目录

云时代下 IKG网络安全之路

——记对安防产品、安全系统研发的理解和思考

DDoS攻击 &CC攻击 防护详解

安防产品应用场景解读

创新技术为网络安全发展插上腾飞的翅膀

倾听客户的声音

销售战报——6月份业绩“精英”榜

攻防是一个博弈过程——记安防产品整体布局和规划

编者按

公司动态

公司动态 

 7月9日

《增盈海外 一站式打通游戏企业出海“全线”脉络》   游戏出海私享会

7月9日，IKGLOBAL携手腾讯云在成都举办以《增盈海外 一站式打通游戏企业出海“全线”脉络》为主题的游戏出海私享会。会上，IKGLOBAL网络规划与发展副总监·董砚和腾讯云·产品专家架构师汤响平分享了网络部署、用户增长、支付等全链路出海经验。

7月31日

IKGLOBAL应邀参加上海《休闲游戏出海开发者肆玩会》活动

7月31日休闲游戏出海开发者肆玩会在上海举行，IKGLOBAL网络规划与发展总监董砚在会上与大家分享了如何通过底层基础设施、网络精准覆盖提升玩家游戏体验，提高玩家留存率以及整个游戏生命周期的降本增效问题，助力游戏企业/发行商提高变现能力，获得在场嘉宾的阵阵掌声。

销售战报

6月份业绩“精英”榜

荣获最佳团队奖

荣获行业最佳销售奖

术。目前这两种技术公司和安防运营部门都已经在完成预演和学习，目前正在部署和实施的过程中。

了解我司安防产品整体布局和规划之前，先了解下目前市场网络攻击的发展和现状。

1、DDoS攻击峰值越来越高，大流量的攻击屡见不鲜；

2、全球攻击源主要集中在经济和网络发达地区，中美俄等国是主要的聚集地，国内主要集中在东北和东南沿海地带；

3、木马电脑和IOT设备越来越多的沦为黑客的肉鸡；

4、游戏行业是DDoS攻击的主要目标，主要源于同行竞争；

安全是一个博弈对抗的过程，网络安全的本质是攻防对抗。面对日益严峻的网络形式需要我们像黑客一样思考，探索应对黑客攻击的方法， 通过模拟黑客攻击来不断提升安全防护的能力和运营团队，为出海企业打造更安全、更流畅的网络环境。

清楚了攻击发展态势后，再来看看我司安防产品是如何布局规划解决上述问题的。

1、积 极融入安防市场生态圈，与海内外各家运营商，IDC公司合作共建大型清洗中心，不断提升DDoS防御峰值；

2、积极布局海内外清洗中心，目前已建成美国圣何塞清洗中心、洛杉矶清洗中心，菲律宾马尼拉清洗中心，中国电信香港清洗中心，华南广东江门清洗中心，华东浙江台州清洗中心等防御能力部署，未来计划在欧洲和日本建成大型海外清洗中心，完成华南第二清洗中心，华东第二清洗中心以及东北清洗中心的部署。从而在布防区域，防御峰值和技术上真正做到近源清洗。说到近源清洗就不得不提全局负载均衡GSLB(Global Server Load Balance)智能调度中心，目前GLSB的技术实现主要有两种，第一种是通过DNS调度，第二种是Anycast任播技

DDoS是Distributed Denial of Service的缩写，翻译成中文是“分布式拒绝服务“攻击，DDoS只是一个概称，其下有各种攻击方式，在日常的防御任务处理中，常见的主要有TCP攻击、UDP攻击、CC攻击等。

常见的TCP攻击类型又分 SYN FLOOD、SYN-ACK FLOOD、SYNACK 、TCP分片报文，其基本原理如下：

常见的有UDP反射攻击，UDP FLOOD，UDP FRAGMENT FLOOD，UDP超大报文等。在我们遇到的UDP攻击中，反射攻击最多。其攻击原理如下：

攻击者控制肉鸡去请求解析，如请求解析www.baidu.com 的IP地址 ，请求IP全部模仿为攻击目标的IP，这时所有的NS服务端都会将报文送到真实的受攻击主机那里去。UDP反射攻击一般放大倍数在500多倍，最多的能到达769倍。也就是说，攻击者只需要控制100台主机，发出1个G的请求，就能打出769G的攻击。

众所周知CC攻击是DDoS攻击的一种变相攻击模式，是针对Web服务发起的攻击，攻击者利用网络传输协议中的三次握手漏洞产生大量的无效链接使资源被耗尽，最终导致服务不能正常运行而达到攻击目的，其攻击原理如下:

攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来

漏洞控制浏览器来发动攻击，请求真实的地址，这种可以说是目前最难防护的攻击，需要定制化解决，目前没有人能百分百说能防御这个攻击，不过有这个实力的人非常少，所以目前还不用担心。

攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

SYN-CC攻击：这种比较常见，黑客直接使用高并发来请求目标导致目标网站或应用无法提供正常服务。防护无非就是常规的并发限制，一般的硬防都可以过滤这些常规的CC攻击。

模拟UA以及常规的百度伪装：这种攻击也算常规伪装，我们遇到非常多，毕竟国内百度爬虫多。目测只要有网站攻击，就一定会出现伪装百度的CC攻击。

浏览器漏洞CC请求攻击：利用浏览器

针对上述攻击，我们首先调整了防御系统的全局防御参数，限制syn包的数量、缩短tcp空闲保持时间，并且调整了规则策略。这样调整后攻击者的访问IP被防御系统屏蔽掉，但正常的用户IP也有被误封的情况。针对此次攻击，我们最终做法是，在防御系统对防御策略放宽松，尽量减小误封率，漏下来的流量再由服务器进行防御。服务器解密数据包，调整防御策略，剩下的流量已经不足以影响大部分用户访问。

安防产品应用场景解读

从受到DDoS 攻击的行业分布来看，依次是在线支付、游戏、菠菜等行业，这些行业由于对数据的即时性，连续性要求高，同行业之间的竞争激烈，且每天的流量大、变现快，成为攻击者眼中的“肥肉”，DDoS 攻击的重灾区。一般来讲，客户的业务受到攻击了或者为了防止被攻击会提前购买防御产品。如果将不同防御产品和客户业务类型相结合，为客户定制最佳解决方案，那么防御效果会更佳。 

目前我司面向客户提供的防御产品主要包括IDC防御产品、高防IP防御产品、IP路由产品以及云防御产品。下面将逐一为大家介绍不同防御产品的特征以及使用场景。

使用方式：客户的业务服务器部署在我司防御数据中心机房，交付一个或多个防御IP并配置到客户服务器上。

产品介绍：客户的域名解析到IDC防御IP，IDC防御IP部署在机房内部的客户服务器上，访问业务的入向流量先经过我司的防御系统清洗和过滤异常的流量（DDoS和CC），再将清洗完的流量送到客户的业务服务器上。

使用场景及适合的业务类型： 客户业务需部署在我司防御数据中心机房内的服务器上。适合各类业务，如web站点、视频点播业务。需要注意的是，选择不同机房的服务器，延时带宽也不同。如用户终端多在国内，建议选择国内机房的防御服务。 

使用方式：交付一个或多个高防IP提供给客户使用，客户将源服务器IP和源业务端口提供给我司防御技服人员，技服人员将在平台配置回源转发。如：客户源IP为114.114.114.114，源端口为80，交付给客户的高防IP为156.227.67.8。技服人员将在防御平台配置一条回源配置：156.227.67.8:80 →114.114.114.114:80，同时客户业务域名A记录解析到高防IP。

产品介绍：将客户的域名解析到高防IP，高防IP在我司机房内部，前置部署防御系统。所有到达高防IP的入向流量都会先进行清洗过滤。完成此步骤后，通过机房内部的转发服务器将清洗完的流量送回到客户源站服务器。

应用场景及适合的业务类型：适合在我司机房内未租赁购买使用服务器的客户群体，高防IP防御产品不要求客户的源站服务器在我司机房，只要保证客户的源站服务器IP通过公网可达就可以部署使用。适合网站、对延时要求不高、业务带宽低的客户使用。

使用方式：交付5个防御IP给客户，客户在香港机房的服务器上部署使用。

产品介绍：小流量攻击的时候流量直接在香港清洗节点进行清洗，大流量攻击的时候，流量会切换到圣何塞进行清洗防御然后专线回源到香港服务器。

使用方式：交付1个香港无防IP和1个圣何塞的防御IP以及1个高防域名给客户，客户提供源站IP和端口由防御技服人员配置转发回源，客户将域名解析Cname到高防域名即可使用。

产品介绍： 用户的访问流量通过域名→高防域名后到达交付的圣何塞和香港的IP。其中，国内用户访问业务解析到香港IP，海外用户访问解析到圣何塞的IP。因此，不同区域的用户访问速度都会有显著的提升效果。由于香港资源限制，分配的香港IP只有100M入向流量，当其入向流量达到100M后将会自动切换解析线路到圣何塞进行访问，当香港IP入向流量小于100M后线路解析自动切回。需要注意的是：切换是分线路的，如：香港IP的电信方向入向流量达到100M，将会把IP在香港机房的电信方向下黑洞，并将电信方向的解析切到圣何塞机房。其他线路也是如此。

使用场景及适合的业务类型：客户业务需部署在我司香港机房的服务器上。适合对业务延时要求较高的客户，如视频、游戏等客户。

使用场景及适合的业务类型： 客户业务服务器不在我司机房。对业务访问延时和防御都有很高的要求，适合网站以及其他无需大量带宽的业务类型。

钰盾防御产品

创新技术为网络安全发展

插上腾飞的翅膀

网络安全一直是我司研发和战略布局的重点，除我司现网应用外，目前已经为上百家客户提供了安全服务，曾助力客户成功抵挡外部2T的反射攻击。而这一切都离不开技术创新带来的竞争优势。安全系统研发作为网络安全发展道路上的创新引擎，为网络安全产品尤其为防御DDoS攻击和CC攻击的安防产品注入了强劲的技术动力。

随着DDoS攻击的智能化水平增强，DDoS不再是流量的野蛮对抗，而是智能攻防的对抗，而传统解决方案因其设计之初并未考虑对DDoS攻击的防护要求，传统防御DDoS攻击的手段如防火墙、入侵检测系统、路由器和交换机等并不能全面的对DDoS攻击进行有效的检测和防护。

基于此，安全系统研发部提出了NG Anti-DDoS（下一代Anti-DDoS）的概念，新系统不再是简单的单台防御设备，而是一个完整的智能防御体系。它提供单台最大80Gbps的DDoS攻击线速防护能力（不带CC攻击防御，旁路部署方式），应用自主研发的高性能抗拒绝服务攻击算法和智能参数阈值，针对不同种类的 DDoS 攻击采用不同的算法（例如TCP重传验证、源地址验证、协议栈行为模式分析、特定应用防护、用户行为模式分析、动态指纹识别等）进行识别，从而准确的区分出恶意的 DDoS 报文和正常访问的网络数据报文，实时对这些攻击流量进行阻断处理，保障业务正常访问。具体防护功能如下所示：

 可有效防护SYN Flood、UDP Flood、ICMP Flood、ACK Flood、Smurf、Land-based、Fragment Flood及其他各种常见传输层攻击。

 可有效防护HTTP Get Flood攻击，TCP连接耗尽攻击，TCP空连接攻击等针对web服务的攻击。

 支持集群部署，利用DDoS防护集群，防护容量可以高达几百G，可使整个系统抵御海量DDoS攻击。

 基于IP信誉度及IP行为分析的智能防御，可有效提高防御的准确性。

基于对安全系统研发的持续投入及技术创新攻坚，在基本的防御功能方面，我司的Anti-DDoS系统和Anti-CC系统已经达到行业如金盾、绿盟等企业同等水平。并且其技术架构更适合云化和虚拟化，这是金盾和绿盟所不具备的。除了技术创新优势外，我司的防御产品还具有以下优势：

1、防御能力：DDoS防御能力可达到T+级，满足游戏、APP、网站、金融等各类型的业务要求。

2、海量防御IP数：支持60W的防御IP数量。

3、清洗精度：对于小于64字节的包可达95%的线速防御，大于64字节的包可达100%防御。

4、防护带宽：入口带宽为国内线路和海外线路带宽，可有效防御海内外提供的带宽容量以下的各类DDoS攻击。

5、响应时间：各类攻击威胁快速响应，秒级响应能力，保证了具有极好的防御效果。

随着中国互联网事业飞速发展，可以预见的是DDoS 攻击事件数量也会持续增长，攻击规模会更大，损失也只会更大。游戏、视频、互联网金融等高速发展的行业也必须有所对策以保护其投资、利润和服务。Anti-DDoS系统提供了业界领先的海量DDoS防护能力，灵活的部署方式，接下来还会沿着现有产品如X86平台的Anti-DDoS防火墙、Anti-DDoS+Anti-CC防火墙等进行持续研发与迭代升级，为客户的业务系统提供强有力的安全保障。

运维服务维度优势：

1、7 ×24全天候：运维团队提供7×24小时全天候响应请求，服务响应及时。

2、专业：活跃在国内外网络安全攻防第一线，并拥有多年的海外运维经验。

3、快速：检测平台提供的流量报表、可视化图表、告警通知等运维工具，可以快速的检查和发现系统中的流量异常，攻击行为。

4、背景：依托多年来服务于数据中心用户的业务经验和专业能力，能够为客户提供最佳的安全体验。

倾听客户的声音

答：源站端口 如 1.1.1.1 使用80端口 2.2.2.2 使用443端口，这样可以配置多个源站。1.1.1.1 使用80端口 2.2.2.2 也使用80端口，就不能用同一个高防IP进行转发。

答：香港和海外机房不需要备案，江门机房需要备案。

答：可以，在任意机房都可以，只要路由可达。 

答：可以，用法一样的，只需要将要防御的域名A记录指向防御IP就行。

北京|重庆|成都|深圳|美国|香港|新加坡|日本|韩国|菲律宾|台湾

WWW.IK.COM