DDoS是實施成本較低和技術手段最爲容易的惡意***形式,許多全球大型互聯網企業都曾遭受過DDoS***,無數的中小企業更是深受其害。無論是技術含量較高的反射式***,還是簡單粗暴的帶寬消耗,無不令受害者防不勝防、頭痛不已。
好的一面是,隨着近年來DDOS的***流量和頻率都越來越大,抗D服務也變的越來越重要,重量級的選手也紛紛參與進來。目前國內已經有數家在技術和基礎設施上均具備雄厚資源的抗D服務提供商,並在業界有着良好的口碑和長期的服務經驗。通過溝通,安全牛得到其中5家優秀企業的積極迴應,下面爲大家逐一介紹(注:排名不分先後):
一、中國電信雲堤
1. 團隊
雲堤團隊核心成員均來自中國電信集團公司運維部,隸屬於中國電信集團網絡安全產品運營中心,清一色技術專家出身,人均擁有10年以上IP骨幹網絡維護和網絡安全經驗,以及網絡和安全方面多項國際高水平認證。成員3/4是中國電信IP專業或安全專業B級實操人才。
雲堤團隊規模並不大,但這個“濃縮”的團隊在高負荷的工作下,從研發、運營到市場推廣一路走過來。“雲堤”推出僅半年,在幾次重大突發***事件中都很好的展現出了能力,在市場上擁有良好的用戶口碑。
2. 技術
“雲堤”的主要功能包括***檢測、***防護和分析溯源三個部分:
1)***檢測利用覆蓋電信全網核心路由器的NetFlow數據進行***監測,其優勢是可以對經過中國電信大網的任意互聯網目標地址的進行在線實時流量監控,在大流量***發生時,有別於傳統***檢測方式只能在近***目的端的網絡或主機上計算***流量和訪問量因而無法避免出現因爲流量擁塞或丟包帶來的記數嚴重偏小問題,雲堤可以在全網所有鏈路上對去往目標IP所的實際***流量進行全面評估,因此對大型DDoS***的流量規模測度最爲準確。
2)***防護包含流量壓制和流量清洗兩種主要功能,其突出優勢是“近源防護”的概念,雲堤監控分析電信全網的路由器的NetFlow數據,能夠準確的辨別一個***的主要區域來向,可以判斷是從境外發起還是從國內其他運營商發起,並定位發起點是哪一家運營商、哪一個城市甚至是IDC機房,從而調度IP承載網路由器和分佈式部署的流量清洗設備將***流量在“最靠近***發起源”的網絡節點上對***流量的進行清除,因此其***防護能力理論上無限大。
雲堤的近源流量壓制利用了很多BGP核心功能,如Anycast/虛擬下一跳/FlowSpec進行控制信令的全網散步,利用IP網核心路由器將***流量進行可區分方向的丟棄、限速和其他QoS動作。近源清洗則是利用對***源進行實時分析後,啓動最靠近***源的部署在電信IP網核心節點的清洗中心,將***流量牽引至清洗中心進行惡意流量的處置,再將正常的業務流量通過隔離的回送通道送達目標網站。雲堤的清洗節點帶寬是固化獨享的,不存在***引流時與其他業務流量共享清洗帶寬的情況,極大降低了因爲***流量引發帶寬擁塞的業務受損可能性,同時雲堤利用BGP實現了對***流量牽引導流的秒級全網生效,而對比傳統的通過修改DNS/NS權威解析導流的方式,往往十幾分鍾才能生效,而且受制於用戶本地遞歸中的TTL最小值限制,無法保障網內***流量的完全引導。
清洗設備採用運營商級大容量高性能清洗設備爲主,有很強的小包處理和轉發性能,對Web安全過濾有一定的能力,同時接受用戶對清洗防護策略模板的深度定製。
3)分析溯源主要解決對***來源的準確定位。我們知道,***利用殭屍主機發起***時時常會使用虛假源IP地址,以達到混淆身份,藏匿歸屬的目的。雲堤通過將每一個監測到的***進行實時的NetFlow分析,找出***發起點接入網絡設備的物理電路接口,通過該接口就能準確定位***源,不需要進行任何關於IP源地址的歸屬推測。由於雲堤瞭解骨幹運營商的所有網絡資源位置,而不依賴於IP地址歸屬映射(互聯網公司常用)和源端是否存在有效探針(安全公司的做法),這使雲堤在***溯源定位能力的領先優勢難以撼動。
3. 客戶羣
雲堤的客戶羣主要分爲兩類,一類是直接或間接使用電信網絡的大型互聯網公司、雲服務提供商(IDC)和二級SP;另一類是直接使用電信專線的傳統政企類客戶,包括金融、政府、能源製造等用戶。據瞭解,幾家國內最具代表性的互聯網公司、以及數家知名雲服務提供商均已在使用雲堤的服務。
雲堤的特點:
· 全網覆蓋(含電信海外網絡)
· 對大***流量的全面客觀測度
· 近源防護,並可區分***來向的流量壓制,防護能力上不封頂
· 全網1T的清洗容量
· 基於BGP anycast技術的近源***流量牽引,秒級防護生效;覆蓋全網的準確***溯源
· 用戶零操作,零設備部署
二、阿里云云盾
1. 團隊
阿里巴巴集團安全部相關工程師包含了硬件研發、軟件研發、軟硬件測試、售後技術支持還安全運營幾個核心團隊,總人數超過1000人。其中,阿里云云盾是面向雲計算用戶的安全服務,安全核心運營人員數量近百人,其中多人獲得CCIE認證,多名核心骨幹從事集團安全運營工作超過5年以上,安全從業超過6年以上經驗的安全專家數十人。
2. 技術
阿里巴巴集團雲盾產品涉及產品組件,全部爲自主研發產品,擁有充分自主知識產權。從引流技術上,當前BGP與CDN兩種方案都支持。防護的方式採用被動清洗方式爲主,主動壓制爲輔的方式,對***進行綜合運營託管,用戶可在***下高枕無憂。
從防護架構上來說,如下圖所示:
從DDoS的防護類型上來說,阿里云云盾可以防護來自互聯網的各種DDoS***,並可以根據用戶的流量大小自動調整防禦策略,防護類型包括SYN flood、Ack flood、UDP flood、HTTP Flood/CC、DNS Query Flood以及NTP Reply Flood等所有DDoS***方式,保障了互聯網應用系統的可用性。
從DDoS防護技術上來說,阿里云云盾針對***在傳統的代理、探測、反彈、認證、黑白名單、報文合規等標準技術的基礎上,還可結合Web安全過濾、信譽、七層應用分析、用戶行爲分析、特徵學習、防護對抗等多種技術,對威脅進行阻斷過濾,保證被防護用戶在***持續狀態下,仍可對外提供業務服務。
阿里云云盾今年推出的高防服務是針對阿里雲服務器在遭受大流量的DDoS***後導致服務不可用的情況下,推出的增值服務,用戶可以通過配置高防IP,將***流量引流到高防IP,確保源站的穩定可靠。高防服務提供7×24的實時防護,秒級響應。迄今爲止,服務質量受到對業務連續性和可用性有較高要求的諸多考驗,並得到用戶的好評。
此外,當前阿里巴巴建設的防護系統,防護能力達到T級,同時,當前正在各地擴容防護能力節點。
3. 客戶羣
阿里云云盾服務於阿里雲以及阿里雲外所有客戶。當前服務的主要客戶包括,金融、娛樂(遊戲)、媒資、電商、政府。
雲盾的特點:
· 防護海量DDoS***。曾成功防禦全球最大DDoS***,流量峯值453G
· 精準***防護。針對交易類、加密類、七層應用、智能終端、在線業務***精準防護
· 隱藏用戶服務資源。雲盾資源做爲源站的前置,可對用戶站點進行更換並隱藏,使***者無法找到受害者網絡資源。
· 彈性防護。用戶可在控制檯自助升級防護級別,無需中斷業務,秒級生效。
· 高可靠、高可用的服務。全自動檢測和***策略匹配,實時防護,清洗服務可用性99.99%。
· 百倍賠償。如果清洗業務防護不成功,則對用戶進行百倍賠償。
三、騰訊雲大禹
1. 團隊
騰訊雲安全團隊由騰訊社交網絡事業羣、技術工程事業羣兩大安全團隊組成。團隊成員爲騰訊衆多產品提供海量服務下的安全防護工作。僅支撐雲安全的團隊技術成員便已超過百人。
2. 技術
大禹系統在騰訊雲機房外側部署了密集的防護節點,每個節點機房入口均部署了宙斯盾系統,支持waf相關功能,節點更具有加速能力。客戶接入大禹系統時,大禹系統會提供一個域名。客戶cname到該域名後,大禹通過騰訊自研的GSLB域名解析系統爲客戶的用戶提供最優的訪問線路。
當遇到小流量***時,大禹系統會通過宙斯盾系統清洗***流量,再將清洗後的業務流量轉發給web服務器。大禹系統當發生超大流量***時,大禹系統會根據***的實際的影響情況,通過修改域名的解析結果,使得正常業務流量快速分攤到未受影響的節點上去。待受影響修復後,大禹系統自動將節點上線導入業務流量。總體來講是用游擊戰的戰術對抗DDoS***。
大禹系統大致架構圖如下圖所示。其中共包括如下幾個主要系統:移動加速系統、***防護點、源站、騰訊宙斯盾系統。
各網絡節點分別起着不同的作用:
· 調度系統在大禹系統中起着智能域名解析、網絡監控、流量調度的作用;
· 源站,開發商業務服務器;
· ***防護點,過濾***流量,並將正常流量轉發到源站;
· 宙斯盾系統是騰訊的通用DDoS防護系統,在大禹系統中會與***防護點配合起來,以起到超大流量的防護作用,提供雙重防護的能力。另外騰訊宙斯盾系統還保護了所有騰訊的機房和系統。
3. 客戶羣
騰訊大禹系統支持基於TCP,HTTP協議的業務,支持安卓/IOS系統,支持各類主流遊戲開發框架,例如cocos2d-x, unity3D等。支持防護業界主流的各種***類型,例如TCP SYN、TCP ACK、TCP FIN、UDP、ICMP、DNS、CC***等。客戶可以有騰訊雲主機,也可以沒有騰訊雲主機。高防專區針對所有協議類型的客戶,但需要在騰訊雲上購買主機。
大禹的特點:
· 獨立部署。騰訊云爲每個***防護點搭建機房,均獨立部署,和其他騰訊自營業務進行完全隔離
· 海量帶寬。單點提供超過500G的網絡防護能力,爲使用分佈式防禦的用戶,更可提供高達兩個T的防禦帶寬。
· 八年自研DDoS防護技術積累。
· 久經考驗。每天抗數萬次***,最大***流量達到200G。
四、綠盟ADS
1. 團隊
綠盟雲安全運營團隊目前包含一線安全監控和運營工程師、二線***專家,安全運營平臺開發和維護人員,大數據分析平臺投入,團隊共計近100人的規模。
2. 技術
1)針對DDoS***的防護包含發現***和處理***2個環節,每個環節有多種技術視業務環境、***情況和業務重要程度靈活採用。
***發現通常採用客戶業務指標異常監控和流量異常監控的方式。流量異常監控包括協議流量異常監控、鏈路流量異常監控、報文特徵流量異常等監控手段等,檢測技術上主要是DPI和DFI兩種技術手段。可以是服務器特定業務指標監控軟件、含有DDoS技術模塊的WAF、ADC、NGFW、網絡性能監控設備、專業業務可用性監控服務等,雲端或管道端的包括基於DPI和DFI技術的異常流量監控系統、***溯源系統。後者用於在源端網絡發現***源,配合源端和目的端設備或清洗雲平臺的過濾措施實施DDoS體系防護方案。
***處理環節的技術包括流量牽引、回注技術和流量緩解技術,牽引和回注技術最常用的BGP牽引和智能DNS,前者可以重定向所有想牽引的目的流量,因此可以針對所有類型的***。後者部署更簡單、牽引範圍更廣,但通常只能對WEB訪問進行重定向,且受DNS的TTL影響,存在較長的牽引生效延遲,一般相對適合CDN場景。回注技術包括MPLS和GRE隧道技術、PBR和二層回注技術。流量緩解技術包括流量清洗技術和各類流量過濾技術,流量清洗技術通常是採用用戶行爲和協議行爲驗證技術,來發現***報文進行過濾,這是當前專業DDoS防護設備的核心技術。過濾策略和過濾技術和包括黑洞路由、ACL、FlowSpec、基於地理位置的過濾、黑白灰和基於業務環境、威脅環境的過濾策略、源端過濾、目的端過濾等技術,豐富的過濾技術有時候也是***處理的利器,尤其是***應急響應的時候。目前綠盟ADS設備內置了BGP的流量牽引和上述各類回注技術,也內置了上述***緩解的技術手段。
2)技術架構。就綠盟清洗服務的技術和交付架構而言,如下圖,包括三個部分,即服務商合作雲清洗平臺、綠盟雲安全運營平臺、和綠盟抗D技術交付平臺:
a)服務商合作雲清洗平臺是和服務商合作建立用於進行DDoS***發現和處理的技術平臺。該平臺目前採用綠盟ADS清洗設備集羣、NTA異常流量監控系統和ADS-M管理中心、區域***溯源系統建立可擴展的大容量清洗平臺。目前清洗平臺主要採用BGP技術,在國內可以在區域網絡核心網絡位置部署,海外則跨運營商建立BGP連接牽引流量,爲企業客戶提供DDoS 安全雲服務,並通過建立專門通道,該方式可以處理的***類型更爲廣泛。
b)綠盟雲安全運營平臺和所有綠盟雲清洗平臺連接,使安全運營人員可以7*24小時集中監控所有云清洗平臺運行狀態和***狀況,發生***時可以集中處理相關的***,提供可以通過泛終端訪問的客戶Portal,並提供和各類服務商合作的API接口,便於嵌入合作方SP的業務中。
c)綠盟抗D技術交付平臺主要包括客戶端的硬件交付技術和雲端的基於大數據***分析平臺和信譽系統。前者是部署在客戶側的綠盟的ADS設備和含抗D技術模塊的WAF設備,可以和綠盟雲清洗平臺聯動,實現雲端大流量***和客戶側小流量、應用層***的自動協同清洗,也可以和雲端信譽系統連接獲取新的威脅知識進行主動防禦。後者和綠盟雲安全運營平臺對接,基於全球分佈式清洗平臺的威脅數據實施大數據分析,形成不同灰度的IP信譽庫和***指紋庫,也可以基於此平臺對發現的新型***進行研究和快速閉環。
3. 客戶羣
目前在國內,服務面向對象主要是各政府部門、金融(證券和銀行)、電子商務企業、本地製造業等企業大客戶。國際上面向電子商務、在線遊戲等客戶羣。
綠盟ADS的特點:
1)覆蓋***發現、處理、主動溯源、信譽技術的完整技術方案。值得關注的是基於CPE設備/軟件結合雲端服務的混合抗D方案,綠盟當前在大客戶有廣泛的ADS及抗D模塊設備如WAF的部署,可以很容易感知業務異常,方便和雲端聯動和協作。從性價比看該方案更適合金融、政府、電子商務的大客戶。
2)十多年抗D***技術積累、專業抗D運營團隊、完整的***分析平臺和技術交付平臺。
3)2013年底統計,綠盟在全球的ADS在線設備部署合計共有4000G以上的清洗容量,覆蓋廣泛的企業大客戶,積累了在終端客戶處的專業品牌認知。
4)和很多的各類服務商建有良好的關係。很多SP之前是綠盟的客戶,便與開展產業合作。
五、360雲安全
1. 團隊
360雲事業部成立於2014年12月31日,主要聚焦計算安全基礎研究、私有云系統安全加固、雲計算安全審計、雲安全防護四大技術方向。目前360雲安全防護團隊已經形成了包括網站衛士在內的安域、星圖、星盾、雲監控、磐雲等一系統雲安全防護產品。
2. 技術
1)網站雲防護體系。360雲安全防護產品日均處理超過45億次HTTP訪問請求,爲國內將近100萬家網站提供實時安全防護服務。360網站衛士提供包括DNS管理、DNS防護、DDoS防護、Web應用防火牆、高級自定義防護等安全策略,網站衛士實時數據分析模塊,繼承了網站衛士強大的數據處理能力和高效準確的***識別能力,不僅能爲網站及時發現並防護各種***行爲,更能夠爲網站實時提供業務日常數據分析服務。
2)***識別及溯源。360雲安全防護產品背後擁有全國最大的惡意網址庫、全國最大的第三方漏洞收集平臺、全國頂尖的樣本庫,數據分析規則與360網站安全雲平臺檢測規則實時同步,保證能夠第一時間發現最新的******行爲和漏洞信息,360網站衛士專有的威脅識別模型也可以發現針對Web應用系統的未知漏洞***,同時支持對***行爲進行深度溯源定位,甚至可以和360現有的安全衛士端防護體系進行聯動,實現快速雲端查殺。
3)CDN加速體系。360雲安全防護團隊研發了一套獨立的“風雲加速”體系,該體系基於全國15個IDC骨幹節點爲網站提供CDN加速服務,克服了傳統網絡服務跨運營商訪問慢,單點質量差等問題,通過實時的數據採集分析,動態選擇最佳路徑,優化DNS解析速度以及CDN節點路由選擇線路,壓縮網頁文件大小,並且針對移動端訪問開啓專屬頁面優化,以保證全國各地更加穩、以最快速度訪問網站。
3. 客戶羣
主要面向政府網站、運營商、IDC等單位,爲客戶網站提供雲安全防護能力。
360雲安全的特點:
·服務5億PC終端用戶,7億移動終端用戶的安全經驗,能夠解決各種複雜安全問題
· 全球最大雲查殺系統,提供80億樣本的檢測能力
· 全球最大漏洞庫補天漏洞平臺
· 提供安全態勢感知和全面的***溯源能力
· 提供TB級數據秒級查詢的大數據分析能力
· 提供授權、遞歸全覆蓋的安全DNS解決方案,提供全方位的高效限速、防放大***能力
· 提供15個IDC節點,200+萬兆LVS負擔均衡服務器,100+ WAF服務器,100+Cache服務器的頂級雲資源
· 提供專業的5秒識別CC***能力,實時攔截基於HTTP協議的流量***。
· 提供高防DNS集羣,可提供10G-100G不同等級的DNS流量清洗服務。