近日，以“引領(lǐng)分布式云變革 助力灣區(qū)數(shù)字經(jīng)濟”為主題的全球分布式云大會在深圳隆重召開。在本次峰會舉辦的分布式安全存儲論壇上，華為AntiDDoS產(chǎn)品研發(fā)總監(jiān)楊莉發(fā)表了題為《IPv6+云時代DDoS挑戰(zhàn)與對策》的精彩演講。

　　隨著互聯(lián)網(wǎng)業(yè)務(wù)向云遷移，DDoS攻擊因簡單、低廉及難防御成為云基礎(chǔ)設(shè)施最大威脅。從IPv4時代來看，DDoS攻擊呈現(xiàn)出強度持續(xù)攀升趨勢，T級攻擊時代到來。今年六七月份，全國多個機房遭受到了T級攻擊，華為記錄的某個機房最多一天遭受了9次T級攻擊；甚至網(wǎng)絡(luò)層CC的攻擊強度也提升至50G-100G。第二個趨勢是攻擊復(fù)雜度持續(xù)攀升， 掃斷疊加脈沖，對云基礎(chǔ)設(shè)施構(gòu)成了巨大威脅。IPv6網(wǎng)絡(luò)時代，DDoS對云的威脅會持續(xù)加劇，云抗D技術(shù)必須有更大的變更，才能應(yīng)對IPv6時代的DDoS威脅。

　　俗話說“道高一尺魔高一丈”，抗D技術(shù)永遠是跟隨攻擊被動發(fā)展。總的來說，利益趨勢下，網(wǎng)絡(luò)環(huán)境和互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展變化促使DDoS攻擊形態(tài)發(fā)生變化，為了防住攻擊，防御技術(shù)需要隨之變革。

　　當前網(wǎng)絡(luò)環(huán)境最大變化自然是IPv4向IPv6演進。

　　從協(xié)議安全性角度看，IPv6相比IPv4在DDoS上沒有任何改觀，IPv4面臨的攻擊IPv6幾乎都存在。2018年，CERNET北美網(wǎng)絡(luò)節(jié)點遭受了IPv6 Memcached反射；2021年國內(nèi)IPv6網(wǎng)絡(luò)層和應(yīng)用層攻擊頻發(fā)，可以說，IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)發(fā)展過程中，IPv4出現(xiàn)過的網(wǎng)絡(luò)層DDoS攻擊和應(yīng)用層DDoS攻擊，IPv6網(wǎng)絡(luò)照單全收。

　　IPv6的發(fā)展需要經(jīng)歷一個漫長的過程，雖然大多數(shù)國家運營商IPv6網(wǎng)絡(luò)已經(jīng)建設(shè)完畢，但互聯(lián)網(wǎng)業(yè)務(wù)依然處于以IPv4為主的時代，所以IPv4和IPv6會處于長期共存狀態(tài)，雙棧共存時期的DDoS攻擊也有新的形態(tài)。首先是雙棧攻擊，一個業(yè)務(wù)既有IPv4地址又有IPv6地址，兩者會同時遭受攻擊；其次，雙棧攻擊時期，IPv6的數(shù)據(jù)會通過IPv4隧道轉(zhuǎn)發(fā)，而DDoS攻擊會隱藏在隧道中，形成IP6over4隧道攻擊。

　　IPv6協(xié)議在IPv4協(xié)議基礎(chǔ)上演進，因IPv6協(xié)議自身特點引入了一些新型的DDoS。首先IPv6的報文頭引入了擴展字段，增加了靈活性，但也因此引入了利用特殊構(gòu)筑的IPv6擴展頭發(fā)起的擴展頭攻擊。其次，基于ICMPv6的鄰居發(fā)現(xiàn)協(xié)議（Neighbor Discovery Protocol），發(fā)起的NDP flood。

　　總結(jié)來說，IPv6時代有三類威脅形態(tài)，第一類是IPv4、IPv6共有的DDoS攻擊形態(tài)，第二類是IPv4向IPv6過渡時期的DDoS攻擊形態(tài)，第三類是針對IPv6協(xié)議的攻擊形態(tài)。

　　針對這三類攻擊，從防御角度講，主要要做到雙棧防御；針對IPv6over4流量，一般來說直接做限速即可，因為運營商IPv6網(wǎng)絡(luò)建設(shè)已經(jīng)非常完善，不應(yīng)該出現(xiàn)IPv6over4流量，尤其是國內(nèi)各種云已經(jīng)不存在IPv6over4流量，如果的確有這類特殊場景，建議把隧道做白名單管理，其它隧道流量直接做限速；對IPv6流量則默認提供報文頭合法性檢查，以及NDP流量限速。

　　IPv6另一個特點是地址無限， 這導(dǎo)致IPv6時代主流DDoS攻擊形態(tài)包括虛假源網(wǎng)絡(luò)泛洪、UDP反射、TCP反射、掃段、CC攻擊的攻擊強度相比IPv4時代會更加猛烈。

　　

　　大流量攻擊頻發(fā)，且攻擊成本廉價，經(jīng)常不足百元就能發(fā)起大規(guī)模DDoS攻擊，但防御需要花費數(shù)萬甚至數(shù)百萬。而攻防對抗本質(zhì)上是成本對抗，因此，防御技術(shù)亟待變革。

　　以華為自身為例，5年前，抗D算法以CPU即C碼實現(xiàn)為主，即“軟防”，面對日益攀升的攻擊強度，沒有任何成本優(yōu)勢，不得已、華為摒棄單一的“軟防”，借助專業(yè)硬件即NP（Network Processor）防御網(wǎng)絡(luò)層大流量攻擊，即“硬防”。針對單節(jié)點的云，可以有效降低防御成本。

　　此外，面對T級攻擊常態(tài)化態(tài)勢，對任何云而言，邊界On-premise防御失效；為了解決這個問題，有些云會借助T級高防預(yù)洗攻擊，干凈的流量回源到云，但自建高防成本較高，畢竟攻防本質(zhì)上就是成本對抗，防御如果成本太高，等于防御失��；還有一些云會借助運營商的云云清洗在網(wǎng)絡(luò)上游攔截攻擊，但同樣面臨成本高的問題，同時運營商云清洗還存在調(diào)度慢的問題，T級攻擊多是秒級加速（2021年多個攻擊樣本統(tǒng)計結(jié)果顯示每秒加速可高達70G以上），且攻擊持續(xù)時間短到不足2分鐘，結(jié)果調(diào)度還未完成，攻擊就已經(jīng)結(jié)束了。

　　

　　楊莉表示，國內(nèi)頭部云廠商主流的做法，是依托云骨干和邊緣節(jié)點，利用Anycast的調(diào)度，形成全網(wǎng)分布式近源清洗網(wǎng)絡(luò)，但受國內(nèi)運營商網(wǎng)絡(luò)環(huán)境限制，很難真正做到路由隨時隨地的Anycast，因此也引發(fā)出一種叫做運營商代播的技術(shù)。

　　

　　掃段攻擊已經(jīng)成為互聯(lián)網(wǎng)公害，幾乎所有網(wǎng)絡(luò)層DDoS攻擊形態(tài)都可以被用來做掃段，近年來數(shù)十甚至上百的C段同時被攻擊已經(jīng)成為云面臨的最普遍網(wǎng)絡(luò)威脅。到了IPv6時代地址海量，有可能出現(xiàn)上千C段同時被掃段的情況。

　　楊莉舉例說，2021H1，香港100多個C段同時被攻擊，到每一個目的IP地址的攻擊報文速率不到100PPS，對單目的IP而言，無法觸發(fā)防御，這類掃段攻擊叫做“單IP低速掃段”。

　　雖然攻擊對單目的IP而言，沒有形成直接的DDoS威脅，但因為同時被攻擊的IP數(shù)量龐大，所有IP加起來形成的攻擊強度還是比較大的，最終導(dǎo)致機房的帶寬擁塞，整個機房的業(yè)務(wù)受損。還有一種掃段是“單IP高速掃段”，“單IP高速掃段”是指攻擊速率高，能觸發(fā)每一個目的IP的防御，但要求云邊界抗D系統(tǒng)具有高并發(fā)主機防護能力。

　　2021年，掃段攻擊復(fù)雜化，疊加了脈沖攻擊形態(tài)，使防御更加困難。過去單IP流量太大危及云基礎(chǔ)網(wǎng)絡(luò)設(shè)施安全，云通常采用秒級黑洞保護云自身網(wǎng)絡(luò)，但是掃段無法使用黑洞，如果對被攻擊的C段全部采用黑洞則大部分網(wǎng)絡(luò)也會被切斷，相當于殺敵一千自損八百。

　　針對IPv6面臨掃段攻擊更嚴重的情況，華為采用三層防御架構(gòu)，對單個云網(wǎng)絡(luò)來說是兩層防御，即第一層網(wǎng)段防御，第二層是主機防御，網(wǎng)段防御層過濾掃段攻擊，保護云網(wǎng)絡(luò)，主機防御層過濾傳統(tǒng)的針對單IP的DDoS攻擊，保護云租戶業(yè)務(wù)。

　　如果掃段攻擊流量大到危及云網(wǎng)絡(luò)鏈路帶寬，則啟用BGP flowspec，在運營商網(wǎng)絡(luò)阻斷掃段攻擊，將對云的攻擊損失降低到最小。當前運營商已經(jīng)逐步采用BGP flowspec替代傳統(tǒng)的單一的基于黑洞路由的流量封堵技術(shù)。

　　同樣，為了獲利，互聯(lián)網(wǎng)業(yè)務(wù)發(fā)生變化亦驅(qū)使DDoS攻擊形態(tài)發(fā)生變化，最終引發(fā)抗D技術(shù)隨之變革。過去互聯(lián)網(wǎng)業(yè)務(wù)以網(wǎng)站為主，結(jié)果以WEB CC為主。如今互聯(lián)網(wǎng)業(yè)務(wù)復(fù)雜了，針對APP的CC攻擊，針對云微服務(wù)API的CC攻擊日漸猖獗。

　　另外，80%的流量都加密了，但DDoS攻擊并沒有因為加密而減少，反而讓防御更加困難，再加上隨著IPv6發(fā)展，5G、物聯(lián)網(wǎng)興起，海量僵尸主機越來越廉價，導(dǎo)致CC攻擊速率越來越高。

　　互聯(lián)網(wǎng)業(yè)務(wù)變化對防御技術(shù)產(chǎn)生的影響非常大，可以說傳統(tǒng)防御技術(shù)失效。首先，過去網(wǎng)站防御通常采用基于重定向的源挑戰(zhàn)認證技術(shù)，但這類防御技術(shù)不能應(yīng)用于APP和API業(yè)務(wù)防護，不僅認證強度不夠，攻擊會繞過，關(guān)鍵APP和API訪問會中斷。

　　其次，針對加密攻擊，很多廠商提倡的是解密防御，但解密防御的性能非常低，導(dǎo)致邊界抗D喪失成本優(yōu)勢，最重要的是會成為網(wǎng)絡(luò)的性能瓶頸。

　　最后面對海量僵尸發(fā)起的低速CC，每一個僵尸攻擊速率非常低，導(dǎo)致源限速失效。

　　楊莉提到，針對這些變化，華為對HTTP CC及HTTPS CC防御根技術(shù)進行了變革，摒棄源認證技術(shù)，采用多維度的源行為分析技術(shù)防御高頻CC，同時引入滑動窗口模擬機器人周期性攻擊行為，提升行為分析識別CC攻擊的準確率。行為分析防御屬于非侵入式防御技術(shù)，對業(yè)務(wù)的兼容性好，且防御性能有明顯優(yōu)勢。

　　尤其基于行為分析防御加密CC，不解密防御性能是解密防御的幾十倍，且完美地規(guī)避了邊界抗D解密防御的部署缺陷。近年來AI技術(shù)火熱， AI的智能分類技術(shù)非常適合用于僵尸識別，華為主要用于防御低頻HTTP CC。

　　近年云原生安全火熱，過去云邊界抗D主要職責(zé)是防御網(wǎng)絡(luò)層攻擊，但隨著CC攻擊強度大幅度攀升，危及云網(wǎng)絡(luò)基礎(chǔ)設(shè)施，因此云邊界抗D必須過濾大流量CC。比如，2019年3月某云上廣告API調(diào)用遭受175Gbps的CC攻擊，其中25Gbps網(wǎng)絡(luò)層CC，150Gbps HTTP CC。

　　因此，云原生安全已經(jīng)逐步將CC攻擊納入DDoS防護服務(wù)看護范疇。那么，華為云原生安全到底怎么做的？首先針對網(wǎng)絡(luò)層泛洪攻擊，華為云依據(jù)租戶具體防護帶寬劃分為不同的防御組，比如10G防御組，50G防御組，依靠專家策略模版，即可做到全程無干預(yù)防御。其次，針對復(fù)雜的CC攻擊主要 借助“防御自動駕駛”實現(xiàn)防御全程自動化。

　　大家知道，華為的網(wǎng)絡(luò)已經(jīng)成功實現(xiàn)了“自動駕駛”，當前DDoS防御華為也在主推 “自動駕駛”。所謂“自動駕駛”，就是過去CC防御效果不好，全靠運維人員手工去調(diào)優(yōu)策略，現(xiàn)在這個過程是系統(tǒng)自動去執(zhí)行。

　　簡單來說，就是當某IP遭受CC攻擊且出現(xiàn)漏防時，系統(tǒng)會自動對被攻擊IP各種維度流量做做快照，自動分析、評估防御效果，找出漏防流量，同時將被攻擊的IP的防御環(huán)境進行克隆創(chuàng)建新的防護組，基于新的防護組進行防御策略針對性地收緊調(diào)優(yōu)，同時持續(xù)進行流量快照、防御效果評估循環(huán)，只有當防御后多維度的轉(zhuǎn)發(fā)流量和流量基線相符合，即說明防御效果達成，此時停止策略調(diào)優(yōu)過程。攻擊結(jié)束，系統(tǒng)自動進行攻擊數(shù)據(jù)歸檔， IP防御環(huán)境復(fù)原。

　　最后，楊莉表示，云網(wǎng)絡(luò)租戶和云主機數(shù)量龐大，大流量CC攻擊如果還依靠傳統(tǒng)的人工響應(yīng)策略調(diào)優(yōu)，成本將達到難以想象。華為希望借助防御自動駕駛，實現(xiàn)云原生CC防御全程自動化。