中國(guó)IDC圈1月7日?qǐng)?bào)道，1月5-7日，第十屆中國(guó)IDC產(chǎn)業(yè)年度大典（IDCC2015）在北京國(guó)家會(huì)議中心隆重召開。本次大會(huì)由中國(guó)信息通信研究院、云計(jì)算發(fā)展與政策論壇、數(shù)據(jù)中心聯(lián)盟指導(dǎo)，中國(guó)IDC產(chǎn)業(yè)年度大典組委會(huì)主辦，中國(guó)IDC圈承辦，并受到諸多媒體的大力支持。

中國(guó)IDC產(chǎn)業(yè)年度大典作為國(guó)內(nèi)云計(jì)算和數(shù)據(jù)中心領(lǐng)域規(guī)模最大、最具影響力的標(biāo)志性盛會(huì)，之前已成功舉辦過九屆，在本屆大會(huì)無論是規(guī)格還是規(guī)模都"更上一層樓"，引來現(xiàn)場(chǎng)人員爆滿，影響力全面覆蓋數(shù)據(jù)中心、互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等多個(gè)領(lǐng)域。

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線首席安全架構(gòu)師錢曉斌出席IDCC2015大會(huì)并在大數(shù)據(jù)應(yīng)用與安全技術(shù)論壇發(fā)表主題為《云清之道》的精彩演講。

華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線首席安全架構(gòu)師錢曉斌

以下為錢曉斌演講實(shí)錄：       

大家好，非常高興來做分享。DDOS在二十年中變化非常多，從1996年到2016年二十年的時(shí)間，攻擊在持續(xù)升級(jí)，防御技術(shù)方面在不斷跟進(jìn)，最早從簡(jiǎn)單的掃描演進(jìn)到網(wǎng)絡(luò)層面的攻擊，最后到應(yīng)用層，現(xiàn)在到了移動(dòng)端的應(yīng)用攻擊，變化非常多。近幾年出現(xiàn)最大的問題是利用了大型的僵尸網(wǎng)絡(luò)以及協(xié)議的漏洞導(dǎo)致放大的攻擊非常嚴(yán)重。一旦DDOS的攻擊者從互聯(lián)網(wǎng)世界里找到可以利用的攻擊資源，利用大量的僵尸網(wǎng)絡(luò)發(fā)起攻擊的時(shí)候，互聯(lián)網(wǎng)世界就處于非常大的威脅中。可以看到開放的免費(fèi)的服務(wù)器資源NTP、DDOS還有其他，利用原始的非常簡(jiǎn)單的協(xié)議特點(diǎn)可以發(fā)起龐大的DDOS攻擊。大家知道NTP的指令發(fā)出去只是234字節(jié)的小包，這個(gè)請(qǐng)求包在很大程度上利用技術(shù)手段可以變得更小，一個(gè)請(qǐng)求包發(fā)過去，NTP的服務(wù)器會(huì)把最近統(tǒng)計(jì)的600個(gè)客戶端的IP地址發(fā)送，每六個(gè)一組變成100組，每組482個(gè)字節(jié)，每次請(qǐng)求的返回?cái)?shù)量非常大，用482除以234再乘以100，如果把這個(gè)請(qǐng)求包變得更小，可以把放大倍數(shù)放到500倍，很多網(wǎng)絡(luò)服務(wù)協(xié)議都有這個(gè)特點(diǎn)。在互聯(lián)網(wǎng)上做DDS的攻擊非常容易。

DDOS的攻擊，DDOS攻擊向全球化、大流量發(fā)展，管道擁塞頻發(fā)。2014年底出現(xiàn)過一次接近500的攻擊，對(duì)運(yùn)營(yíng)商或者互聯(lián)網(wǎng)用戶來說影響非常大，最頭疼的就是運(yùn)營(yíng)商，用戶抱怨，它的運(yùn)營(yíng)成本會(huì)極大增高，很多電路費(fèi)用都讓供給者占了。2016年P(guān)2P的網(wǎng)絡(luò)會(huì)被攻擊者利用，利用P2P的特性做反射的放大攻擊會(huì)成為一種趨勢(shì)，大家可以觀察。HDTP的反射攻擊開始崛起，主要是兩種，一種是基于JS腳本的DDOS攻擊，還有一些特殊應(yīng)用，像WordPress，需要整個(gè)機(jī)制增加一些特性，比如地理位置的過濾、驗(yàn)證、會(huì)話級(jí)的檢測(cè)、更高層面的情景分析。對(duì)于IDC來說，面臨的DDOS威脅分成這三大類，第一類首當(dāng)其沖的是低流量的DDOS攻擊，會(huì)給IDC造成帶寬上的麻煩，給應(yīng)用造成威脅。

互聯(lián)網(wǎng)威脅的世界里，我的看法像病毒，如果把DDOS看作一種生物的話，二十年的演進(jìn)過程中也是從原先很小的單體的單細(xì)胞的粗暴型的攻擊，慢慢變成強(qiáng)大的類似于運(yùn)營(yíng)的攻擊機(jī)制。對(duì)DDOS防御的關(guān)鍵點(diǎn)是三方面，如果用簡(jiǎn)單的模型來看，這里面的主要要素是三點(diǎn)，一個(gè)是管理中心的云查殺，云端是做管控的以及外部的威脅收集。下端是做檢測(cè)的查看或者檢測(cè)的流量，進(jìn)一步判定它是不是DDOS的攻擊流量。專業(yè)的流量分析設(shè)備在國(guó)內(nèi)有很多廠商能提供，但現(xiàn)在在DDOS的進(jìn)一步演進(jìn)下需要出現(xiàn)清洗中心，以前買了DDOS這個(gè)設(shè)備之后，檢測(cè)跟清洗是一體的，現(xiàn)在在大的環(huán)境里，比如數(shù)據(jù)中心運(yùn)營(yíng)商這一層，用單體功能設(shè)備或者單體集群都不能解決，需要不同的個(gè)體間進(jìn)行聯(lián)合的防御，所以這塊就更有必要加強(qiáng)管理端的能力。

從防御的架構(gòu)要點(diǎn)，這些核心技術(shù)都會(huì)涉及到前面說的云查殺三個(gè)點(diǎn)上的技術(shù)，云端更加職能化，原先通過人，通過運(yùn)維方面去配置，需要設(shè)備或者系統(tǒng)了解更多的外部威脅情報(bào)，全球化收集數(shù)據(jù)，在防御體系里去分享。另外對(duì)于下層的檢測(cè)能力，更需要增加一些新的方法，像指紋技術(shù)，更多的傾向于系統(tǒng)內(nèi)部或者是外部加一些機(jī)器學(xué)習(xí)或者智能化的方法，在流量層面更智能地判定它的攻擊流量跟正常流量的區(qū)別。對(duì)于僵尸工具的特征跟蹤也是辛苦的工作，新的地理位置的過濾、會(huì)話的監(jiān)控。網(wǎng)絡(luò)流層面的檢測(cè)和連包檢測(cè)方案，這是在防護(hù)能力、響應(yīng)時(shí)間、對(duì)現(xiàn)網(wǎng)路由器或交換機(jī)要求、檢測(cè)精度、每G流量成本、檢測(cè)性能擴(kuò)展性方面二者的比較。技術(shù)流派就這兩種，下一代的網(wǎng)絡(luò)里這兩種方案，第一方案會(huì)被基礎(chǔ)的網(wǎng)絡(luò)設(shè)備吸收，第二種方案在未來的網(wǎng)絡(luò)里會(huì)變成安全資源池，池子里可以動(dòng)態(tài)地調(diào)用，在前端使用成本比較低的方案，雖然延時(shí)比較大，但在全網(wǎng)范圍內(nèi)可以看得更多。如果精準(zhǔn)定位了一些流量，一定要用后端精準(zhǔn)的檢測(cè)，在前面還有一些無法判斷的流量可以引到后面做檢測(cè)。

 1/3    1 2 3 下一頁 尾頁