在12月20日—22日的第十一届中国IDC产业年度大典上,中国电信网络安全产品运营中心市场总监刘长波发表了主题为《举全网之力护网络安全》的精彩演讲。
中国电信网络安全产品运营中心市场总监刘长波
DDOS攻击现状分析
互联网环境充满安全隐患,面对DDOS攻击的有三种人,第一种人是正在被攻击的,第二种人是不知道被攻击的,第三种人是不承认被攻击的。
从中国电信模拟的DDOS攻击状况图来看,来自四面八方的流量同时攻击某个商户。事实上,不仅对客户,攻击对电信运营商也会造成很大影响。
以T为单位,在2016年的10月份,整个DDOS攻击流量达到历史峰值,超过了4万T的流量。整个网络的恶意攻击流量有非常明显的增长趋势。
在峰值方面,80%的攻击在40G流量以下。虽然IDC圈运营商的带宽比单个客户的带宽大很多,可用带宽可以吃掉一定的流量攻击。但是由于任何带宽利用率不能达到理论上的百分之百,所以40G的流量攻击会造成网络的灭顶之灾。
数据显示,超过100G的攻击,每一天35次,比上一个统计周期增长了4-5倍,也就是说大流量攻击越来越多、越来越频繁。而大规模的攻击流量超过800G,就发生在国内。
分布地区方面,DDOS重灾区分布与经济发展密切相关,大家可以看到整个的沿海省份是高发区。据第三方的数据,2015年遭受DDOS攻击行业分布中,位列第一的是新闻媒体,位列第二的是互联网金融,而政府、企业、游戏等都位列前十。
DDOS攻击的原因很多,在中国大陆地区,互联网行业黑色、灰色的不正当竞争手段,也是互联网安全问题频繁爆发的诱因。而DDOS攻击发起成本非常低廉,与防护成本相比完全不成比例,这在客观上加剧了攻击的泛滥。
危害显而易见,公司打出自己的品牌非常不易,品牌在关键时期受到攻击,对品牌效益造成的损失不可估量。更为严重的情况是业务全阻,针对单一用户的攻击,造成共用出口带宽完全壅塞。一点受攻,全点受阻,影响整个节点所有企业业务的连续性。
DDOS攻击防护
最常见的DDOS攻击防护手段,是阻断攻击信息流,但其效果并不理想。一旦接入电路完全壅塞,网络上塞满无用的数据包,真正想把流量堵在路上,已经无济于事。
根据电信的自身经验,刘长波总结了DDOS攻击防护的四个先决条件。
第一。带宽,高带宽是目前DDOS攻击防护最有效的措施,没有之一。必须有足够的带宽才能把DDOS攻击的流量全部消化,为下一步的清洗动作奠定基础。
第二。防护设备,必须有专业的、规则比较完备的清洗设备,才能达到好的清洗效果。
第三。专业队伍。
第四。完备的响应机制,必须有非常完备的响应机制,否则当攻击到来我们束手无策。
以电信的云堤产品为例,其对DDOS攻击主要有两个处治方式,第一个处治方式是流量压制。云堤的流量压制,会把把攻击源或者流量分为三个方向。第一个方向来自于国外,第二个方向来自于国内,第三个方向来自于中国电信内部三十几个省的内网。
第二个处置方式是流量清洗,云堤的流量清洗离客户越远,安全系数越高。清洗启动以后,云堤把来自某个省或者某个方向的流量就近迁移到附近的机房进行清洗,再通过中国电信的骨干网回驻到客户。
中国电信的清洗中心在全国部署26个清晰节点,流量是1200G,目前电信已经在香港、欧洲、美洲展开布局,云计算能力将近2000G,覆盖全球。
目前,电信正尝试一些全新的安全举措,云堤高防也进入试用阶段,利用中国电信部署在31个省的高质量IDC,电信首先把流量就近牵引到高防IDC,然后回到客户。来自全中国电信的能力被集中起来,为单个客户提供攻击保护。
DNS
DNS防护也是电信未来的重要布局,传统域名应急痛点有两个,一个是发现迟,一个是恢复慢。
云堤为DNS安全提供两个服务。第一个是监控服务,中国电信31个省的探针覆盖三家运营商,实时检测用户的DNS是否被篡改。第二个是域名快速修正服务,确保客户的权威DNS修改迅速,并与中国电信缓存DNS同步。
它有四个特点:
第一。主被动监控。
第二。自动的API接口,确保实时性。
第三。自服务系统以及微信服务号,都可以为大家提供相符的服务。
第四。生效时间快。