如果全球的沙子都对你发起DDoS攻击,如何破?
ipv6已来
2016年6月1日开始,苹果规定所有提交至appstore的应用必须兼容ipv6-only标准。可以预计,2018年底会有大量互联网资源、上网用户使用ipv6协议。这意味着,如果一个互联网服务不能支持ipv6,将失去大量用户流量。
2017年底,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(ipv6)规模部署行动计划》,要求到2018年末,ipv6活跃用户数达到2亿,并要求国内用户量排名前50位的商业网站及应用支持ipv6。ipv6成为国家战略。
随着ipv6时代的到来,ipv6网络下的攻击开始出现。2018年初,neustar宣称受到了ipv6ddos攻击,这是首个对外公开的ipv6 ddos攻击事件。thc-ipv6、hping等ipv6的ddos攻击工具也开始在互联网上出现。
2018年11月,淘宝、优酷的双十一首次跑在ipv6上。同时,阿里云云盾建成国内首家ipv6 ddos防御系统,支持秒级监控、防御海量ip,为淘宝、优酷云上业务提供ipv4+ipv6双栈ddos自动防护。双11期间,双栈防御系统拦截5000多次ddos攻击,最大攻击流量达到397gpbs。
ipv6时代,网络安全面临新的挑战
虽然ipv4下的防御系统已经非常成熟,但系统并不能直接用于ipv6防护,需要全链路重构支持ipv6。从流量监控、调度、清洗、黑洞都需要重新适应ipv6的新网络环境。此外,由于ipv6协议的新特性,可能会被黑客用于ddos或dos攻击:
● ipv6的nextheader新特性可能被黑客用于发起dos攻击,比如type0路由头漏洞,通过精心制造的数据包,可以让一个报文在两台有漏洞的服务器之间“弹来弹去”,让链路带宽耗尽,也可以绕过源地址限制,让合法的ip反弹报文;
● ipv6新增ns/na/rs/ra,可能会被用于dos或ddos攻击;
● ipv6支持无状态自动配置,同时子网下可能存在非常多可使用的ip地址,攻击者可以便利的发起随机源ddos攻击;
● ipv6采用端到端的分片重组机制,如果服务器存在漏洞,可能会被精心伪造的分片包dos攻击。
与此同时,ipv6下攻防态势也产生新的变化。ipv6提供海量的地址,一个idc就可能申请到非常大的可用地址块,这对源ip频率和限速类的防御算法来说简直是噩梦。特别是应用层的ddos:http flood、刷票、爬虫将变得更加难以防御。此外,随着自动驾驶汽车、物联网设备、移动终端等越来越多的智能设备入网,这些设备一旦被入侵都可能成为发起ddos的僵尸网络,产生海量的攻击报文。
ddos攻击往往是出于商业利益,据阿里云发布的《2018上半年网络安全报告》显示,游戏、移动应用、电子商务等竞争激烈的领域是ddos攻击的重点阵地。随着企业业务切到ipv6协议,ipv6下的ddos攻击在一段时间里会非常有效,因为很多企业并没有做好ipv6 ddos防御的准备,对攻击者来说可以轻易达成攻击目标。此时ipv6下的ddos攻击会逐步热门起来,成为很多企业的阿喀琉斯之踵。
阿里云ipv6ddos防御最佳实践
针对挑战和变化需要解决的问题:
● 网络和ddos防御系统需要改造甚至重构支持ipv6。
首先,虽然ipv4网络已经非常成熟,但到了ipv6网络,现有的很多企业网络、服务器网络的大部分都需要更换设备和重新开发系统,才能支持ipv6网络以及ipv6网络下的安全防护;
部分企业寄希望运营商会提供平滑的过渡方案,但运营商只会对运营商网络边界内进行改造升级,企业如果需要支持ipv6,是需要自身进行改造升级的。
● ipv6的地址总量是ipv4的2的96次方倍,系统需要更强大的处理性能才能支持海量的ip的安全防御。
● 针对大流量ddos,需要建立运营商级别的ipv6黑洞能力。
● 防御算法和防御模式都需要适应ipv6的新挑战。
● 在业务切换到ipv6的同时,需要具备ipv6网络下的安全防护能力。
阿里云如何实现:
1.重构系统支持ipv4+ipv6的双栈ddos自动防护
a) 流量监控预警系统
流量监控预警系统需要支持ipv6和ipv4,同时检测双栈流量,为了能检测ipv6海量的ip地址,阿里云ddos系统采用了分布式集群的方式,将流量分散到集群上协作运算,对多个流量指标进行统计,秒级监控流量的异常。
b) 调度系统
对调度系统升级,支持双栈,自动判断ip类型,启动对应防御模式和清洗算法。
c) 清洗系统
重新设计部署了牵引、回注、清洗系统,并制定针对ipv6的清洗算法。
2.运营商级别黑洞能力
不管是ipv4还是ipv6,当某个ip攻击流量特别大,会导致整个带宽拥塞。无论对idc机房、云服务商来说,1个ip被攻击导致所有业务不可用简直是灾难。特别是ipv6网络带宽相对于ipv4还处于建设初期,攻击拥塞风险更大。
阿里云和各大isp服务商建立ipv6黑洞联动能力,可以在运营商ipv6骨干网丢弃流量,提供安全的云环境。
3.防护模式的升级
a) 针对prefix级别的防御算法:
虽然一个idc就可能申请到海量的ip地址,但这些ip地址归属的ip地址块不会太多,即使攻击者可以切换海量的ip地址,但在同一个机房的肉鸡ip很难在网段级别离散,通过ip地址网段来统计和分析可以有效减弱ipv6海量地址带来的冲击。
b)协同防御:
在传统idc和单机安全设备上,一个ip的异常指标可能非常低,很难分析它是攻击还是正常访问,同时很难判断这个ip是否是nat或园区出口,结合ipv6的海量ip,攻击者可以进一步降低被识别的可能。但攻击者为了成本和效率,一个ip不可能只攻击一个目标。比如ip x.x.x.x 在ddos了服务器a之后,可能又去cc攻击了服务器b。在阿里云上,由于规模效应,有海量的ip同时在被防御,所有清洗数据进行了在线化分析,一个ip的行为特征就有了上帝视角,攻击者变得非常明显,所有租户的防御就可以协同作战,威胁情报可以共享。
c) 智能化深度防御:
针对应用层的ddos攻击,基于频率和限速的模式会越来越难防御,假如一个网站能承受1w qps。在ipv6下,攻击者可以很廉价的获取1w个ip,每个ip每秒发起1次请求,这个网站就会不堪重负。所以,在ipv6下应用层的ddos攻击防御,更高级的人机识别技术、人机对抗技术将成为主流。目前阿里云已在web应用防火墙上应用了多种人机对抗技术。
安全建议
对于普通互联网服务提供者来说,重构、升级系统来支持ipv6需要花费大量的成本,建议利用云服务快速搭建基于ipv6的服务。目前,阿里云已有多款产品支持ipv6,同时以saas化的形式提供ipv6 ddos防护能力,助力企业一秒搭建更高级别的防御能力。
LG化学南京动力电池一期项目量产,年产值或达600亿元
485通讯协议怎么使用(传统光电隔离的典型电路实例)
AMD如何将Rome Epycs与Xeon竞争对手相抗衡
美国运营商为何会将如此挣钱的数据中心业务卖掉
电阻器的主要技术指标
如果全球的沙子都对你发起DDoS攻击,如何破?
400G原型路由器的发布,预示未来数年数据海啸的到来
联得装备:预计Mini/Micro LED未来几年会保持高速增长
显示技术:OLED浪潮及其它激动人心的发展趋势
基准电压是什么_基准电压有什么作用
印度本土手机品牌市占率节节下滑,联发科及高通愿助一臂之力
蓄电池接线柱腐蚀后的维修方法,Battery Repair
毛利率稳定提升 中颖电子2018年净利润增长26%
再创新高!5月户均移动互联网接入流量近4GB同比增长169.3%
科学向新,共创未来--科兰通讯受邀参加第二十一届中国科学家论坛
三大国际巨头联合开发3D传感技术
华为拿下中国移动5G基站集采近六成份额 2019年华为业绩增长达19.1%
TTR500系列2端口2路矢量网络分析仪的性能特点及应用范围
漏电保护器有几种类型
瑞能第四代快恢复二极管的详细介绍
2016年6月1日开始,苹果规定所有提交至appstore的应用必须兼容ipv6-only标准。可以预计,2018年底会有大量互联网资源、上网用户使用ipv6协议。这意味着,如果一个互联网服务不能支持ipv6,将失去大量用户流量。
2017年底,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(ipv6)规模部署行动计划》,要求到2018年末,ipv6活跃用户数达到2亿,并要求国内用户量排名前50位的商业网站及应用支持ipv6。ipv6成为国家战略。
随着ipv6时代的到来,ipv6网络下的攻击开始出现。2018年初,neustar宣称受到了ipv6ddos攻击,这是首个对外公开的ipv6 ddos攻击事件。thc-ipv6、hping等ipv6的ddos攻击工具也开始在互联网上出现。
2018年11月,淘宝、优酷的双十一首次跑在ipv6上。同时,阿里云云盾建成国内首家ipv6 ddos防御系统,支持秒级监控、防御海量ip,为淘宝、优酷云上业务提供ipv4+ipv6双栈ddos自动防护。双11期间,双栈防御系统拦截5000多次ddos攻击,最大攻击流量达到397gpbs。
ipv6时代,网络安全面临新的挑战
虽然ipv4下的防御系统已经非常成熟,但系统并不能直接用于ipv6防护,需要全链路重构支持ipv6。从流量监控、调度、清洗、黑洞都需要重新适应ipv6的新网络环境。此外,由于ipv6协议的新特性,可能会被黑客用于ddos或dos攻击:
● ipv6的nextheader新特性可能被黑客用于发起dos攻击,比如type0路由头漏洞,通过精心制造的数据包,可以让一个报文在两台有漏洞的服务器之间“弹来弹去”,让链路带宽耗尽,也可以绕过源地址限制,让合法的ip反弹报文;
● ipv6新增ns/na/rs/ra,可能会被用于dos或ddos攻击;
● ipv6支持无状态自动配置,同时子网下可能存在非常多可使用的ip地址,攻击者可以便利的发起随机源ddos攻击;
● ipv6采用端到端的分片重组机制,如果服务器存在漏洞,可能会被精心伪造的分片包dos攻击。
与此同时,ipv6下攻防态势也产生新的变化。ipv6提供海量的地址,一个idc就可能申请到非常大的可用地址块,这对源ip频率和限速类的防御算法来说简直是噩梦。特别是应用层的ddos:http flood、刷票、爬虫将变得更加难以防御。此外,随着自动驾驶汽车、物联网设备、移动终端等越来越多的智能设备入网,这些设备一旦被入侵都可能成为发起ddos的僵尸网络,产生海量的攻击报文。
ddos攻击往往是出于商业利益,据阿里云发布的《2018上半年网络安全报告》显示,游戏、移动应用、电子商务等竞争激烈的领域是ddos攻击的重点阵地。随着企业业务切到ipv6协议,ipv6下的ddos攻击在一段时间里会非常有效,因为很多企业并没有做好ipv6 ddos防御的准备,对攻击者来说可以轻易达成攻击目标。此时ipv6下的ddos攻击会逐步热门起来,成为很多企业的阿喀琉斯之踵。
阿里云ipv6ddos防御最佳实践
针对挑战和变化需要解决的问题:
● 网络和ddos防御系统需要改造甚至重构支持ipv6。
首先,虽然ipv4网络已经非常成熟,但到了ipv6网络,现有的很多企业网络、服务器网络的大部分都需要更换设备和重新开发系统,才能支持ipv6网络以及ipv6网络下的安全防护;
部分企业寄希望运营商会提供平滑的过渡方案,但运营商只会对运营商网络边界内进行改造升级,企业如果需要支持ipv6,是需要自身进行改造升级的。
● ipv6的地址总量是ipv4的2的96次方倍,系统需要更强大的处理性能才能支持海量的ip的安全防御。
● 针对大流量ddos,需要建立运营商级别的ipv6黑洞能力。
● 防御算法和防御模式都需要适应ipv6的新挑战。
● 在业务切换到ipv6的同时,需要具备ipv6网络下的安全防护能力。
阿里云如何实现:
1.重构系统支持ipv4+ipv6的双栈ddos自动防护
a) 流量监控预警系统
流量监控预警系统需要支持ipv6和ipv4,同时检测双栈流量,为了能检测ipv6海量的ip地址,阿里云ddos系统采用了分布式集群的方式,将流量分散到集群上协作运算,对多个流量指标进行统计,秒级监控流量的异常。
b) 调度系统
对调度系统升级,支持双栈,自动判断ip类型,启动对应防御模式和清洗算法。
c) 清洗系统
重新设计部署了牵引、回注、清洗系统,并制定针对ipv6的清洗算法。
2.运营商级别黑洞能力
不管是ipv4还是ipv6,当某个ip攻击流量特别大,会导致整个带宽拥塞。无论对idc机房、云服务商来说,1个ip被攻击导致所有业务不可用简直是灾难。特别是ipv6网络带宽相对于ipv4还处于建设初期,攻击拥塞风险更大。
阿里云和各大isp服务商建立ipv6黑洞联动能力,可以在运营商ipv6骨干网丢弃流量,提供安全的云环境。
3.防护模式的升级
a) 针对prefix级别的防御算法:
虽然一个idc就可能申请到海量的ip地址,但这些ip地址归属的ip地址块不会太多,即使攻击者可以切换海量的ip地址,但在同一个机房的肉鸡ip很难在网段级别离散,通过ip地址网段来统计和分析可以有效减弱ipv6海量地址带来的冲击。
b)协同防御:
在传统idc和单机安全设备上,一个ip的异常指标可能非常低,很难分析它是攻击还是正常访问,同时很难判断这个ip是否是nat或园区出口,结合ipv6的海量ip,攻击者可以进一步降低被识别的可能。但攻击者为了成本和效率,一个ip不可能只攻击一个目标。比如ip x.x.x.x 在ddos了服务器a之后,可能又去cc攻击了服务器b。在阿里云上,由于规模效应,有海量的ip同时在被防御,所有清洗数据进行了在线化分析,一个ip的行为特征就有了上帝视角,攻击者变得非常明显,所有租户的防御就可以协同作战,威胁情报可以共享。
c) 智能化深度防御:
针对应用层的ddos攻击,基于频率和限速的模式会越来越难防御,假如一个网站能承受1w qps。在ipv6下,攻击者可以很廉价的获取1w个ip,每个ip每秒发起1次请求,这个网站就会不堪重负。所以,在ipv6下应用层的ddos攻击防御,更高级的人机识别技术、人机对抗技术将成为主流。目前阿里云已在web应用防火墙上应用了多种人机对抗技术。
安全建议
对于普通互联网服务提供者来说,重构、升级系统来支持ipv6需要花费大量的成本,建议利用云服务快速搭建基于ipv6的服务。目前,阿里云已有多款产品支持ipv6,同时以saas化的形式提供ipv6 ddos防护能力,助力企业一秒搭建更高级别的防御能力。
LG化学南京动力电池一期项目量产,年产值或达600亿元
485通讯协议怎么使用(传统光电隔离的典型电路实例)
AMD如何将Rome Epycs与Xeon竞争对手相抗衡
美国运营商为何会将如此挣钱的数据中心业务卖掉
电阻器的主要技术指标
如果全球的沙子都对你发起DDoS攻击,如何破?
400G原型路由器的发布,预示未来数年数据海啸的到来
联得装备:预计Mini/Micro LED未来几年会保持高速增长
显示技术:OLED浪潮及其它激动人心的发展趋势
基准电压是什么_基准电压有什么作用
印度本土手机品牌市占率节节下滑,联发科及高通愿助一臂之力
蓄电池接线柱腐蚀后的维修方法,Battery Repair
毛利率稳定提升 中颖电子2018年净利润增长26%
再创新高!5月户均移动互联网接入流量近4GB同比增长169.3%
科学向新,共创未来--科兰通讯受邀参加第二十一届中国科学家论坛
三大国际巨头联合开发3D传感技术
华为拿下中国移动5G基站集采近六成份额 2019年华为业绩增长达19.1%
TTR500系列2端口2路矢量网络分析仪的性能特点及应用范围
漏电保护器有几种类型
瑞能第四代快恢复二极管的详细介绍