用云清洗安全服务绞杀DDoS攻击_中国信息安全人才网

用云清洗安全服务绞杀DDoS攻击

时间：2014-10-15 16:37 来源：赛迪网作者：木淼鑫点击：

现今，金融行业、政府和在线游戏正在成为恶意攻击者的主要目标。经济利益、恶意竞争，甚至是政治目的是这类攻击发起的主要意图，而随着黑客技术、政治经济环境、以及互联网的发展这类事件仍将频繁发生。

实际上，随着新IT技术的发展人们也在开始面临新的挑战。比如，随着IPv6的普遍应用利用IPv6协议栈漏洞发起的攻击开始增多，移动互联的迅猛发展使得攻击工具更加移动化，暴增的各类应用犹如蜜糖一样快速吸引到更多的攻击者，据统计2013年针对APP的攻击增长了42%，而当我们感叹互联网的大带宽时，攻击流量也在随之增大，有数据显示2013年攻击流量增长了3倍，DDoS攻击正在焕发新的“活力”。

知道么，针对反垃圾邮件非盈利组织Spamhaus发起的DDoS攻击流量超过了300Gbps，这几乎是互联网历史上最大规模DDoS攻击。2013年7月20日哥伦比亚独立日，30个政府网站遭受DDoS攻击，这是同一天内针对一个国家政府网站频率最高的DDoS攻击。去年11月份针对比特币发起的DDoS攻击则是一次最为高效的攻击，恶意攻击者从这次攻击中至少获利百万美元。而被黑客所控制的亚马逊等云服务商在成为新的攻击源头，数据中心的优势计算能力、超大可用网络带宽以及实时在线性，使其沦为“肉鸡”的可能性急剧上升，DDoS攻击正在更多的由数据中心发起，云服务在沦为“犯罪即服务”。

如今的DDoS攻击规模更大，攻击工具呈现移动化趋势，2013年42%的DDoS攻击为应用型攻击。应用型DDoS攻击的主要目标是瘫痪用户后端，而利用移动互联网和智能终端发起的应用型DDoS工具则很多，从阿桑奇事件、黑客对银行等机构的攻击中可发现，移动互联网和智能终端在成为新的DDoS攻击的发起点，智能终端自身安全防护的薄弱性是造成这一局面原因之一。DDoS攻击的发起成本正在下降，但对于防御者而言成本反倒正在上升。那么如何处理这类小概率却容易造成大损失的安全威胁呢?在这个云计算的时代，云安全服务是一个可以考虑的不错选择。

云服务的商业模式已经开始明朗起来，一切来于网络、一切基于网络，但安全也成为了云计算中的一个不可预知的炸弹，那么可以考虑利用云计算提供云安全服务，清除潜藏的安全威胁抵御DDoS类恶意攻击，以云制云。对于针对网络带宽的DDoS攻击，运营商由于处于流量上游而拥有天然优势，在安全问题日益严峻的今天，大力发展云安全运营市场就是联通这类运营商可以考虑方向。上海联通正是看到了这一点，与华为合作推出了DDoS云清洗服务安全产品。

华为IT产品线FusionInsight产品领域总监朱照生表示，华为所提供的基于SDN技术的Anti-DDoS云清洗方案，利用大数据分析技术从60多种维度对全网络流量进行精细化分析，针对异常流量可在2秒级内实现快速响应。与传统“引流回注”清洗方案不同的是，该方案无需带着攻击流量在整个网络中穿行，而是利用SDN感知方式进行最优资源调度，通过优化资源调度实现云端清洗，从源头上防御DDoS攻击。这就避免了类似Spamhaus DDoS攻击事件中，由于采用传统“引流回注”清洗方案，带着300G的攻击流量在整个欧洲网络中穿行寻找清洗点，最后导致整个欧洲运营商网络拥塞这种尴尬局面的出现。

据上海联通产品管理中心产品总监魏尚俊介绍，与华为合作的云清洗方案最高可以扩展到T级别的高容量，具有很好的后期兼容性和扩展性。而借助大数据技术，华为专业的安全团队能够分析全球最新攻击工具，并对僵尸网络活动进行追踪，然后将研究结果以僵尸网络IP信誉、攻击特征库的形式更新到现网设备，让防护更加高效、精确。而华为方案所采用的SDN技术，可基于源头过滤攻击流量，亦可实现智能引流清洗，在发生大流量DDoS攻击时最大限度地保护联通的网络带宽。

华为基于SDN的Anti-DDoS方案可以说是软件定义网络在安全领域的成功应用。比如说，有超大的来自北京的DDoS攻击流量攻击位于上海某DC的应用，传统无SDN的DDoS攻击解决方案，是在上海的城域网或DC边界实现清洗，这意味着攻击流量会从一直从北京攻击到上海，当攻击流量很大时就会导致北京到上海的链路拥塞。如果采用SDN对网络的可视化和控制能力，可以快速发现攻击流量来源于北京，直接在北京的攻击源头路由器对攻击流量实现阻断。另外，基于SDN可以实现智能引流清洗，避免传统引流只基于路由最短路径而不管引流路径是否具备足够的可容纳攻击流量的可用带宽，导致引流路径涉及的链路都出现拥塞，相当于攻击效果被无形放大。基于SDN可以实现智能引流的原理是，引流路径计算不仅仅可以考虑最短路径，还会看引流路径的最大可用带宽以及清洗中心的最大可用带宽，从攻击源头上实现多路径引流。

华为对应应用型DDoS攻击能够提供更早期的预警，防止计算型攻击带来的损坏。哪怕是面对从移动端发动的DDoS攻击，华为应用动态指纹学习技术与攻击特征静态匹配过滤技术相结合实现的智能丢包防御技术，依然可以对这类DDoS攻击进行强力绞杀。而华为的僵尸网络过滤技术，则能够解决来自数据中心内部的Outbound DDoS攻击。

在上海联通为某VVIP提供的一次真实DDoS攻防演练服务中，客户给出了这样的评价“在演练过程中，我们故意在2G正常流量中混杂了2M攻击流量，居然系统自动识别出来并做了精准拦截”。由此可见，借助华为Anti-DDoS解决方案利用云清洗安全服务从源头上对DDoS攻击进行绞杀，是云计算时代最为有效可行的选择。

(责任编辑：往生)