錢曉斌:云清之道

互聯(lián)網(wǎng)IDC圈1月7日報道,1月5-7日,第十屆中國IDC產(chǎn)業(yè)年度大典(IDCC2015)在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導,中國IDC產(chǎn)業(yè)年度大典組委會主辦,互聯(lián)網(wǎng)IDC圈承辦,并受到諸多媒體的大力支持。

創(chuàng)新互聯(lián)建站主營慈溪網(wǎng)站建設的網(wǎng)絡公司,主營網(wǎng)站建設方案,成都app開發(fā),慈溪h5微信平臺小程序開發(fā)搭建,慈溪網(wǎng)站營銷推廣歡迎慈溪等地區(qū)企業(yè)咨詢

中國IDC產(chǎn)業(yè)年度大典作為國內(nèi)云計算和數(shù)據(jù)中心領域規(guī)模大、最具影響力的標志性盛會,之前已成功舉辦過九屆,在本屆大會無論是規(guī)格還是規(guī)模都"更上一層樓",引來現(xiàn)場人員爆滿,影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等多個領域。

華為企業(yè)網(wǎng)絡產(chǎn)品線首席安全架構師錢曉斌出席IDCC2015大會并在大數(shù)據(jù)應用與安全技術論壇發(fā)表主題為《云清之道》的精彩演講。

錢曉斌

華為企業(yè)網(wǎng)絡產(chǎn)品線首席安全架構師錢曉斌

以下為錢曉斌演講實錄:       

大家好,非常高興來做分享。DDOS在二十年中變化非常多,從1996年到2016年二十年的時間,攻擊在持續(xù)升級,防御技術方面在不斷跟進,最早從簡單的掃描演進到網(wǎng)絡層面的攻擊,最后到應用層,現(xiàn)在到了移動端的應用攻擊,變化非常多。近幾年出現(xiàn)大的問題是利用了大型的僵尸網(wǎng)絡以及協(xié)議的漏洞導致放大的攻擊非常嚴重。一旦DDOS的攻擊者從互聯(lián)網(wǎng)世界里找到可以利用的攻擊資源,利用大量的僵尸網(wǎng)絡發(fā)起攻擊的時候,互聯(lián)網(wǎng)世界就處于非常大的威脅中??梢钥吹介_放的免費的服務器資源NTP、DDOS還有其他,利用原始的非常簡單的協(xié)議特點可以發(fā)起龐大的DDOS攻擊。大家知道NTP的指令發(fā)出去只是234字節(jié)的小包,這個請求包在很大程度上利用技術手段可以變得更小,一個請求包發(fā)過去,NTP的服務器會把最近統(tǒng)計的600個客戶端的IP地址發(fā)送,每六個一組變成100組,每組482個字節(jié),每次請求的返回數(shù)量非常大,用482除以234再乘以100,如果把這個請求包變得更小,可以把放大倍數(shù)放到500倍,很多網(wǎng)絡服務協(xié)議都有這個特點。在互聯(lián)網(wǎng)上做DDS的攻擊非常容易。

DDOS的攻擊,DDOS攻擊向全球化、大流量發(fā)展,管道擁塞頻發(fā)。2014年底出現(xiàn)過一次接近500的攻擊,對運營商或者互聯(lián)網(wǎng)用戶來說影響非常大,最頭疼的就是運營商,用戶抱怨,它的運營成本會極大增高,很多電路費用都讓供給者占了。2016年P2P的網(wǎng)絡會被攻擊者利用,利用P2P的特性做反射的放大攻擊會成為一種趨勢,大家可以觀察。HDTP的反射攻擊開始崛起,主要是兩種,一種是基于JS腳本的DDOS攻擊,還有一些特殊應用,像WordPress,需要整個機制增加一些特性,比如地理位置的過濾、驗證、會話級的檢測、更高層面的情景分析。對于IDC來說,面臨的DDOS威脅分成這三大類,第一類首當其沖的是低流量的DDOS攻擊,會給IDC造成帶寬上的麻煩,給應用造成威脅。

互聯(lián)網(wǎng)威脅的世界里,我的看法像病毒,如果把DDOS看作一種生物的話,二十年的演進過程中也是從原先很小的單體的單細胞的粗暴型的攻擊,慢慢變成強大的類似于運營的攻擊機制。對DDOS防御的關鍵點是三方面,如果用簡單的模型來看,這里面的主要要素是三點,一個是管理中心的云查殺,云端是做管控的以及外部的威脅收集。下端是做檢測的查看或者檢測的流量,進一步判定它是不是DDOS的攻擊流量。專業(yè)的流量分析設備在國內(nèi)有很多廠商能提供,但現(xiàn)在在DDOS的進一步演進下需要出現(xiàn)清洗中心,以前買了DDOS這個設備之后,檢測跟清洗是一體的,現(xiàn)在在大的環(huán)境里,比如數(shù)據(jù)中心運營商這一層,用單體功能設備或者單體集群都不能解決,需要不同的個體間進行聯(lián)合的防御,所以這塊就更有必要加強管理端的能力。

從防御的架構要點,這些核心技術都會涉及到前面說的云查殺三個點上的技術,云端更加職能化,原先通過人,通過運維方面去配置,需要設備或者系統(tǒng)了解更多的外部威脅情報,全球化收集數(shù)據(jù),在防御體系里去分享。另外對于下層的檢測能力,更需要增加一些新的方法,像指紋技術,更多的傾向于系統(tǒng)內(nèi)部或者是外部加一些機器學習或者智能化的方法,在流量層面更智能地判定它的攻擊流量跟正常流量的區(qū)別。對于僵尸工具的特征跟蹤也是辛苦的工作,新的地理位置的過濾、會話的監(jiān)控。網(wǎng)絡流層面的檢測和連包檢測方案,這是在防護能力、響應時間、對現(xiàn)網(wǎng)路由器或交換機要求、檢測精度、每G流量成本、檢測性能擴展性方面二者的比較。技術流派就這兩種,下一代的網(wǎng)絡里這兩種方案,第一方案會被基礎的網(wǎng)絡設備吸收,第二種方案在未來的網(wǎng)絡里會變成安全資源池,池子里可以動態(tài)地調(diào)用,在前端使用成本比較低的方案,雖然延時比較大,但在全網(wǎng)范圍內(nèi)可以看得更多。如果精準定位了一些流量,一定要用后端精準的檢測,在前面還有一些無法判斷的流量可以引到后面做檢測。

再看一下清洗中心要干的事情。這個中心是相對復雜的機制,檢測結果已經(jīng)送達到這個地方的時候,對引過來的流量還要做進一步分析,最終返回給用戶干凈的流量,這叫清洗。運營層面的考慮,DDOS在很多層面無論是小網(wǎng)站、數(shù)據(jù)中心本身還是運營商本身,最終會站到運營的角度看,經(jīng)濟上要考慮成本,問題集中在兩點,一個是傳統(tǒng)的本地化清洗方案已經(jīng)很難滿足上游管道擁塞問題的解決,大部分運營商都在云端尋找流量的清洗方案,運營商在微觀上可以采取更多更好的異構設備,在更高層面控制DDOS流量的清晰。這里面要解決的問題具體來說是從外部供給網(wǎng)絡的流量怎么處理,第二是本網(wǎng)內(nèi)往外攻擊的流量怎么處理,要解決這兩個問題。

我們提出云清聯(lián)盟這個思想,安全圈里提聯(lián)盟的特別多,昨天又看到云安全服務的聯(lián)盟在成立。這個聯(lián)盟里我們希望有哪些成員在里面,一個是全球TOP50的運營商,第二是數(shù)據(jù)中心服務提供商,第三是抗擊設備提供商,第三是專門搞安全服務運營的,華為這種做云安全的廠商。這個聯(lián)盟的核心組件是三個,一是云安全的SOC,這是云查殺云的這端,核心是去感知資源,了解客戶的需求,通過技術的手段確定流量遷移的方向和自費的這些技術。清洗中心要解決清洗的帶寬能力,擁有ATP的協(xié)議,把各地閑散的或者本來就要用來做清洗的資源整合起來,共同來應對威脅。應急響應中心,所有的成員在里面都會按照固定的指令或者規(guī)則做整體的防御。云清聯(lián)盟的全球化部署,我們希望構建全球化的網(wǎng)絡,這個網(wǎng)絡有一個云清洗的中心,這個中心可能是虛擬的,全球會有很多的分中心,加入聯(lián)盟的成員有兩種狀態(tài),一個他本身就是接受服務的,還有一種他本身有檢測和清洗的能力,能夠把閑散的資源貢獻出來,為其他的客戶提供服務。在這個時候某個成員在本地的時候,內(nèi)部的DDOS系統(tǒng)去監(jiān)控到的DDOS帶寬如果超過他的處理能力,他就會把攻擊檢測發(fā)到云SOC,由云SOC來調(diào)度最靠近檢測跟清洗的成員,啟動防護。

在這樣一個聯(lián)盟的運作方式里,大家享受到不同的利益,一方面有些成員可以通過更強大的抗擊能力服務于自身的聯(lián)盟內(nèi)的成員跟客戶,資源在很大程度上90%的時候可能都是閑置的,閑置的時候可以貢獻出來給大家。有一種好的模式,可以構建全球化的十個以上的清洗中心,通過大數(shù)據(jù)的智能調(diào)度完成清洗的任務。這個聯(lián)盟里如果想要取得成功,需要讓成員取得長期的價值跟短期的價值。短期就是讓這個成員為自己的客戶解決DDOS的清洗問題,通過服務來獲得收益。長期可以在更大視野里獲得全球的攻擊數(shù)據(jù)跟趨勢分析,也可以借助大平臺將自己對安全服務能力推向更多的用戶。如果我們在國內(nèi)做得很好,如果說有這個聯(lián)盟,清洗的能力、服務的能力能夠通過平臺收到全球其他的平臺。

我把清洗的工作流程整理成四步,第一步很簡單,在云清洗的管理平臺里為客戶提供清洗的服務提供商,這個可以針對用戶的特點,因為用戶對防御的級別或者自己應用的特點以及區(qū)域性會有些服務商的傾向,通過客戶的本地檢測設備實時的監(jiān)控,如果一旦監(jiān)控到超大流量的攻擊,這個閾值設在這兒,云清的平臺會把攻擊事件實時上傳,也會動態(tài)檢測攻擊流量可能達到的攻值,來判斷需不需要調(diào)動云清外部資源來協(xié)同。這個時候會針對用戶的流量來啟動云清洗。清洗結果很簡單,流量的分析報告里有一塊相當于承擔了清洗的總和,干凈的流量要返回給客戶,中間的流量差是攻擊流量,攻擊流量可以看到更加明細的東西,可以看到流量的內(nèi)部,它的構成是什么。對于客戶來說,他可以通過客戶化的Portal看到所有運作的過程和攻擊的效果,實時地反饋用戶的數(shù)據(jù)和相關的請求及攻擊的數(shù)據(jù)。

整個工作流程看起來非常簡單,現(xiàn)在的困難主要是怎么構建商業(yè)的聯(lián)盟,本質(zhì)上是商業(yè)的聯(lián)盟,支撐這個商業(yè)聯(lián)盟的后端有很多技術,底層有檢測的技術,檢測技術在不斷的變化,我們必須要更跟進威脅變化的方式,為客戶提供更好的檢測服務。全球化的清洗中心,運營商和一些數(shù)據(jù)中心都可以加入進來,最后為全網(wǎng)的用戶提供網(wǎng)絡層面的安全共同體。聯(lián)盟更像全網(wǎng)的協(xié)作機制,這種機制能夠為互聯(lián)網(wǎng)所有處在這個系統(tǒng)里的人,有能力的提供更多的能力服務于其他的人員,有問題的,全球有更多資源來響應,通過這種機制抗力的問題在一定程度上會持續(xù)得到抑制,未來網(wǎng)絡演進也會幫助我們有更好的辦法去幫助我們解決,謝謝大家!

標題名稱:錢曉斌:云清之道
本文鏈接:http://muchs.cn/article24/chpcce.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站排名品牌網(wǎng)站建設、App開發(fā)微信小程序、品牌網(wǎng)站設計、全網(wǎng)營銷推廣

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

h5響應式網(wǎng)站建設