- 本月热门
-
ANGULAR2 vs REACT(简介及框架比较) by 500Tech -
Docker在点评私有云平台的应用 by 盛延敏@大众点评网 -
Container as a Service with Docker(容器即服务) by Patrick Chanezon -
让用户的数据更安全--淘宝、天猫全网HTTPS实践 by 李振宇@阿里 -
付宝红包—双11的挑战与应对 by 邱硕@蚂蚁金服 -
用MongoDB构建安全和兼容的应用程序 by sbmccarth -
Pwning in C++ by Angelboy -
Haskell中的类型与类型系统 by 张淞@网易 -
互联网创业的迷与思 by 李建忠 -
React Native on Android by 杨万皇
第1页
刀尖上的舞蹈——DDoS攻防对抗
阿里巴巴集团安全部 朱家睿
阿里巴巴集团安全部 朱家睿
第2页
2015-10-15
第3页
2015-10-15
第4页
DDoS攻击是互联网服务的噩梦,是 看不见硝烟的战场
第6页
什么是 DDoS 攻击 ?
DDoS(Distributed Denial of Service) 分布式拒绝服务攻击
堵塞带宽,消耗资源 让服务器无法提供正常服务
DDoS(Distributed Denial of Service) 分布式拒绝服务攻击
堵塞带宽,消耗资源 让服务器无法提供正常服务
第7页
DDoS攻击流量趋势
2013.3 300Gbps Spamhaus
2013年前 <200Gbps
2014.2 400Gbps CloudFlare
2014.12 453Gbps 阿里云
DNS、NTP、Chargen反射攻击助 力DDoS攻击轻松上百G
移动终端也加入“僵尸”网络阵 营
Spamhaus 300G(DNS反射),创 造历史
阿里云453G,刷新互联网记录!
僵尸网络
反射攻击
智能终端
2013.3 300Gbps Spamhaus
2013年前 <200Gbps
2014.2 400Gbps CloudFlare
2014.12 453Gbps 阿里云
DNS、NTP、Chargen反射攻击助 力DDoS攻击轻松上百G
移动终端也加入“僵尸”网络阵 营
Spamhaus 300G(DNS反射),创 造历史
阿里云453G,刷新互联网记录!
僵尸网络
反射攻击
智能终端
第8页
DDoS攻击不只是大流量
随机url
CC 攻击 HTTP Post
Local DNS
HTTP Get
DNS FLoodCDN DNS
权威 DNS
UDP Flood
SYN Flood
四层 DDoS
NTP反射 DRDoS反射
Connection Flood
DNS 反射
SSDP
随机url
CC 攻击 HTTP Post
Local DNS
HTTP Get
DNS FLoodCDN DNS
权威 DNS
UDP Flood
SYN Flood
四层 DDoS
NTP反射 DRDoS反射
Connection Flood
DNS 反射
SSDP
第9页
DDoS攻击不只是大流量
随机url
CC 攻击 HTTP Post
Local DNS DDoS是HTT力P G量et 与巧妙的结UDP合Flood
DNS FLood
SYN Flood
权威 DNS CDN DNS
四层 DDoS
NTP反射 DRDoS反射
Connection Flood
DNS 反射
SSDP
随机url
CC 攻击 HTTP Post
Local DNS DDoS是HTT力P G量et 与巧妙的结UDP合Flood
DNS FLood
SYN Flood
权威 DNS CDN DNS
四层 DDoS
NTP反射 DRDoS反射
Connection Flood
DNS 反射
SSDP
第10页
几个例子
• 随机域名攻击,Local DNS 无法缓存,权威DNS被打死
• 随机URL攻击,穿透CDN Cache,源站被打死
• 随机域名攻击,Local DNS 无法缓存,权威DNS被打死
• 随机URL攻击,穿透CDN Cache,源站被打死
第11页
阿里云云盾 第三季度DDoS态势报告
第12页
大流量攻击成为常态
详细报告,可关注“阿里云安全”微博、微信获取
详细报告,可关注“阿里云安全”微博、微信获取
第13页
哪些行业易被攻击?
详细报告,可关注“阿里云安全”微博、微信获取
详细报告,可关注“阿里云安全”微博、微信获取
第14页
攻击源最多为越南和广东
TOP5国外攻击源
越南
美国 韩国 泰国 巴西
14.8% 12.5% 5.7% 4.1%
48.5%
TOP5国内攻击源
广东
浙江 山东 江苏 河南
15.9%
9.8% 8.7% 7.3% 6.2%
详细报告,可关注“阿里云安全”微博、微信获取
TOP5国外攻击源
越南
美国 韩国 泰国 巴西
14.8% 12.5% 5.7% 4.1%
48.5%
TOP5国内攻击源
广东
浙江 山东 江苏 河南
15.9%
9.8% 8.7% 7.3% 6.2%
详细报告,可关注“阿里云安全”微博、微信获取
第15页
移动终端成为新的攻击源
详细报告,可关注“阿里云安全”微博、微信获取
详细报告,可关注“阿里云安全”微博、微信获取
第16页
最活跃的僵尸程序是BillGates
详细报告,可关注“阿里云安全”微博、微信获取
详细报告,可关注“阿里云安全”微博、微信获取
第17页
阿里如何防御?
第18页
阿里巴巴众多业务: 天猫、淘宝、支付宝……
CDN 和 云业务
CDN 和 云业务
第19页
云业务带来的变化:
攻击数量和流量指数级上升 100个用户100种应用,用什么策略? 1Gb/s的正常业务和100Mb/s的攻击如何分辨?
大流量的连带“躺枪” ……
攻击数量和流量指数级上升 100个用户100种应用,用什么策略? 1Gb/s的正常业务和100Mb/s的攻击如何分辨?
大流量的连带“躺枪” ……
第20页
自主研发
自主研发,贴合业务, 模块间紧密配合
快速迭代,适应业务 发展
秒级检测
分光检测,1S级预警, 2秒完成处理,避免躺 枪
20种流量成分秒级判断, 精确判断攻击
流量阈值自学习
分析调度
IP业务识别和策略自 学习
大数据分析,10万种 业务,1千种模型
清洗系统
高性能:单台百G
线性扩容,TB容量
四到七层全面防御
自主研发,贴合业务, 模块间紧密配合
快速迭代,适应业务 发展
秒级检测
分光检测,1S级预警, 2秒完成处理,避免躺 枪
20种流量成分秒级判断, 精确判断攻击
流量阈值自学习
分析调度
IP业务识别和策略自 学习
大数据分析,10万种 业务,1千种模型
清洗系统
高性能:单台百G
线性扩容,TB容量
四到七层全面防御
第21页
部署逻辑
运营商网络
检测中心
分光
业务集群
干净流量
攻击流量
清洗 中心
运营商网络
检测中心
分光
业务集群
干净流量
攻击流量
清洗 中心
第22页
防御案例分享
带宽储备+ABTN
攻击监控
TB级清洗容量
ISP各方向链路状态监控
防御预案
攻击源分析,为防御建
设提供数据
带宽储备+ABTN
攻击监控
TB级清洗容量
ISP各方向链路状态监控
防御预案
攻击源分析,为防御建
设提供数据
第23页
防御案例分享
“毫发无损的发布会”
攻击最大40G
发布会1秒都没有受影响
预案做在前面
“毫发无损的发布会”
攻击最大40G
发布会1秒都没有受影响
预案做在前面
第24页
DDoS防御是一项系统工程
事前,充分准备 事中,快速响应 事后,加强总结
事前,充分准备 事中,快速响应 事后,加强总结
第25页
事前
• 监控:全面、快速、准 确的“看清楚”威胁
• 强身健体:能力建设
• 体检:定期的攻防演练
• 预案:不打无准备之仗
• 监控:全面、快速、准 确的“看清楚”威胁
• 强身健体:能力建设
• 体检:定期的攻防演练
• 预案:不打无准备之仗
第26页
事中
• 分析攻击,见招拆招 • 团队配合,分工联动 • 流程打磨,快速处理 • 攻防经验,有条不紊
• 分析攻击,见招拆招 • 团队配合,分工联动 • 流程打磨,快速处理 • 攻防经验,有条不紊
第27页
事后
• 分析Review,找出薄弱环节,为下一 次战役做准备
• 分析Review,找出薄弱环节,为下一 次战役做准备
第28页
我们熟悉的木桶原理
薄弱的地方,往往造成最大的破坏
CC Attack ? DNS Flood ?
流量攻击 ?
薄弱的地方,往往造成最大的破坏
CC Attack ? DNS Flood ?
流量攻击 ?
第29页
全面防护不留死角
第30页
中小企业的DDoS难题
1买G 4的0攻0正G击常带?流宽量防, 要小得时招运人维7*?24
被大流量攻击 毫无办法……
要堆买叠多呀少?设备 难备道竞要赛带?宽军
1买G 4的0攻0正G击常带?流宽量防, 要小得时招运人维7*?24
被大流量攻击 毫无办法……
要堆买叠多呀少?设备 难备道竞要赛带?宽军
第31页
中小企业的DDoS难题
• 买一堆的安全设备是否能解DDoS? • 带宽军备竞赛?小企业买400G带宽? • 培养一支7*24小时的专家团队? • 真正被攻击了,设备、人、流程的反应时间有
多快?
• 买一堆的安全设备是否能解DDoS? • 带宽军备竞赛?小企业买400G带宽? • 培养一支7*24小时的专家团队? • 真正被攻击了,设备、人、流程的反应时间有
多快?
第32页
我们的答案是
第33页
云端防护
第34页
云计算重新定义DDoS防护
• 安全托管,回归业务 • 弹性的安全防护 • 云端海量带宽 • 云上的运维专家 • 大数据下的防御
• 安全托管,回归业务 • 弹性的安全防护 • 云端海量带宽 • 云上的运维专家 • 大数据下的防御
第35页
但是, 问题依然存在
第36页
DDoS防御的痛点
1 军备竞赛 性价比低
2 带宽扩容 还能走多远?
3 单点风险 4 线路质量不够高
1 军备竞赛 性价比低
2 带宽扩容 还能走多远?
3 单点风险 4 线路质量不够高
第37页
如果可以做到:
1 摆脱军备竞赛
3 风险分散
2 防护模式与业务的完 美结合
4 优质多线路接入 近源访问
1 摆脱军备竞赛
3 风险分散
2 防护模式与业务的完 美结合
4 优质多线路接入 近源访问
第38页
我们的新思路
第39页
安全网络
一种安全可靠的接入网络服务。 通过安全网络节点(IP),为源站提供安全、稳定、快速的流量。
调度中心
用户1 用户2 用户3
……
300G攻击
手机 电脑
SDK/域名
节点1 节点2 …… × 节点299 节点300
安全网络
用户源站 用户源站
一种安全可靠的接入网络服务。 通过安全网络节点(IP),为源站提供安全、稳定、快速的流量。
调度中心
用户1 用户2 用户3
……
300G攻击
手机 电脑
SDK/域名
节点1 节点2 …… × 节点299 节点300
安全网络
用户源站 用户源站
第40页
全面立体的接入体系
用户接入 云防护系统
API
SDK
DNS
全
局
智
CC
WAF
CDN
能 调
SLB 度
DDoS
系 统
BGP网络
用户接入 云防护系统
API
SDK
DNS
全
局
智
CC
WAF
CDN
能 调
SLB 度
DDoS
系 统
BGP网络
第41页
Thanks
更多安全资讯 微博:阿里云 阿里云安全 微信公共号:阿里云 阿里云安全 http://www.aliyun.com/product/esn
更多安全资讯 微博:阿里云 阿里云安全 微信公共号:阿里云 阿里云安全 http://www.aliyun.com/product/esn