“高防云论坛”围绕高防CDN和高防云平台等议题,探讨网络信息安全大背景下的高防云平台的建设。出席本次圆桌论坛的有:北京椒图科技有限公司VP李栋、360安域产品研发经理王枭卿、网易信息安全部技术总监沈明星、知道创宇安全顾问魏雅楠。
网易沈明星:打造云清洗防护中心,CDN与安防优势互补。
沈明星介绍说,网易正在搭建一个云的清洗防护中心,涉及到一些关键指标,就是像用户非常关键延时,必然会在选择高防节点的时候,靠近自己的云和终端用户。这样做,能够更多的去减少网络上的延迟,来保证用户体验。沈明星同时表示,网易目前比较关注资源的隔离,因为一个云抗D的平台或者一个清洗中心必然会接入大量的用户。怎么样保证各个用户之间的业务是个难题,比如说某个用户被攻击会不会影响到其他用户等。为此,网易云易盾真正的做到了“隔离源头”。他们会每一个用户高防IP都会有一个独立的定程,会做到一个自觉的隔离,在网络上用户购买这个套餐,网易会直接把IP直接拉黑,保证网易整个平台的安全。
当被问到在如何抗击DDoS和CC的攻击时,沈明星认为最重要的是工作经验和显示对抗的角度。抗D这一块是对资源,出口带宽一定要大,自己设备一定要多,这个纯粹就是简单粗暴,没有资源根本抗不住。针对CC攻击就是绵里藏针的一些攻击,更多的是比拼技术,和数据的积累,防CC的时候必然需要用户的数据模型,需要信誉库,像阿里和游戏盾这些也会用到一系列的技术。
而对于当下,越来越多的CDN企业开始与安防企业进行合作。沈明星认为,CDN和安防本身就存在着一些互补的优势。CDN的流量是进少出多,DDoS就是进多出少。国内几家CDN厂商,像网宿他们也做这块业务的,CDN厂商也是看到了这块的契机的,他们也是想做一些高防的节点,跟CDN结合DDoS防护的能力。业务设计会把JS图片直接放在CDN节点上,这就不需要回源到原件上的,这种攻击更多影响是CDN本身的业务。沈明星认为,从这个角度而言CDN的厂商对于保护自身而言也有防御工具的需求。
360王枭卿:360度无死角的防护,CDN如何与高防云配合无间?
当被问到“抗DDoS和抗CC攻击中,最关键的是什么”时,王枭卿认为是资源。当600G到700G的攻击直接打到一个地方,你的节点或者IDC出口带宽如果小于这个数的话,基本上就是就没法运作。运营商IDC方面的话,一般会采取的做法就是为了不影响其他业务而自保,直接把你的节点服务IP丢进黑洞,解封完一般需要两到三个小时。如果所有节点都在这个规模以下,要么就是全面挂掉,要么放弃对客户的防护,就这两种结果。这就是高防存在的原因,节点多做服务式的防护是一个优势,劣势就是DNS的调度,攻击流量不一定跟的上,直接打节点的服务IP或者网端,这个我们都遇到过,单节点带宽至少就是对外部就是成为承诺防护能力的话,承诺500G的话,最好是有500G以上的节点,如果攻击打到一个点确实承受不住。
王枭卿认为,本身防护系统的灵活性也能在很大程度上影响到抗DDoS的能力。 其次大家都知道的问题,就是次之的一些问题,比如说规则策略的攻击性,DDoS是对抗性很强的攻击,比如说防控住之后,过个两三分钟,四五分钟,攻击者那边就停了、调整攻击的方式重新打,如果系统能够自动判断最好的,但当出现系统不行的场景,这样就需要认为介入,去配置去调整,那么你本身的防护系统的灵活性就包括你策略配置的灵活性有多高,直接决定了你的防护相应的延迟还有效果,这是对于在这种抗D和CC里非常重要的两个地方。
对于CDN与高防相结合。王枭卿认为,CDN就是分布式的存储,高防用分布式的方法来做,其实的确具有更高的防护能力。确实就是说现在有很多的CDN的厂家,那么就是说无论推出这个服务,还是被动的提供客户,本身中间CDN就有IP隐藏的作用,估计会得到CDN节点上,有一些CDN公司把这些东西作为服务推出来了。
他认为对于CDN客户来说,在比较早的时候,一般都会写一些做好防护的承诺,不做保证,如果像攻击量不大,CDN检测这一方也发现不了,这个时候就相当于默默用户去承受的,量大的话,CDN公司,本身在这摆着了,客户一个是复杂值还没有那么高,只是一个商业行为,同时的话也是会大量对于其他正常的用户和业务的服务的话,可能会采用一些回源的措施,但无论如何,只要在自己能力范围以内,其实如果把这个东西作为一项增值服务给客户,也会让你的CDN节点更加有生机、
椒图科技VP 李栋:资源相互整合,CC攻击三重奏如何抵抗?
李栋认为,未来抗C或者抗D的重点是数据的共享,因为每家的资源都是有限的,云锁差不多有100万的装机量,资源相互整合,通过相关的提升,来抵抗这种能力。
李栋指出,与DDoS攻击不同,CC攻击主要是对服务器的内存等占用,CC攻击的攻击原理比较简单,通过用一个IP向服务器发起数据库请求,在短时间内占用大量的CPU包括内存的资源。常规的防CC攻击有四种,一个是硬件WAF,它现在是大企业的标配,优点是部署非常方便,本身是用硬件方式交付,吞吐量比较高,但缺点是价格昂贵,对于中小企业来说应该是难以负担的。另外,硬件WAF需要明确的网络边界,不适合云环境。椒图之前遇到一个用户购买大量的硬件,在把业务迁移到云上,又重新数据库,过滤之后再接到里面,这种做法效率比较低。
椒图抗CC攻击产品有三重模式,第一种模式是计数,通过看请求次数,用户可以根据业务的实际情况进行一个调整,然后中间是一个反向验证,这个是高低模式,比较常用的模式。当CC攻击发生之后,会有一个攻击溯源,即攻击发起包括攻击的页面,给使用者修复漏洞一个依据。
知道创宇魏雅楠:军工级的高防,首要资源是关键,能否跟踪并追查溯源?
魏雅楠认为,对于CC和DDos攻击的首要资源很重要,从攻防角度上也要进行实时的跟踪,在日后追查溯源的时候能不能找到这个作恶者,魏雅楠认为高防就像军工,大型的行业,单纯的打抗D只是终止业务终端,如果敲诈的话,溯源就会起到作用,在抗击日志里查查还是非常重要的。
溯源,魏雅楠认为现在业内没有哪家产品就是可以在很快速的在分钟级或者分钟级别内把源头抓到。她觉得,安全工程师安全工作经验是其中非常重要的一点,他们之前有过一个客户是因为被攻击了,也是攻击者有马甲作案,但他们的安全工程师非常有经验,通过各个方面探查这个问题到底出在哪里,最后一步一步的找到了恶意攻击者,这样整个分析过程下来也是在小时级别的,同样她相信,随着未来的科学技术发展,是可以达到相同的目的和效果的。
最后,对于未来安防领域的发展和知道创宇所做的贡献,魏雅楠谈到,当前许多企业都已经开始意识到各类网络攻击对企业的危害,但一直苦于无法解决,企业的安全问题已经成了企业运作的一大痛点。而其中最严重的要数信息泄露、入侵被黑、流量劫持、黑色暗链四大安全问题。针对这些问题,企业应当如何解决呢?”魏雅楠分析到:“保护企业网站业务安全运行生命周期可以通过KSA渗透测试从保护、检测、修复三方面形成闭环,从业务系统渗透挖掘高级威胁防御,从而进行积极防御,最后针对企业提出安全管理建议。”