華為：抗DDoS也能“自動(dòng)駕駛”？更多防御新技術(shù)一起解鎖

　　隨著(zhù)互聯(lián)網(wǎng)的高速發(fā)展，黑客攻擊手段的不斷演進(jìn)，行業(yè)內的惡意競爭愈演愈烈，而攻擊平臺化、自動(dòng)化又不斷地降低著(zhù)攻擊成本，促使DDoS攻擊的強度、頻率和復雜度持續提升，企業(yè)網(wǎng)絡(luò )DDoS防護面臨著(zhù)越多來(lái)越多的挑戰：

　　大流量DDoS攻擊峰值帶寬不斷攀升，T級攻擊越來(lái)越頻繁，依賴(lài)CPU抵御大流量攻擊遭遇瓶頸；

　　CC攻擊（Challenge Collapsar）是一種常見(jiàn)的DDoS攻擊方式，通過(guò)僵尸網(wǎng)絡(luò )或代理對被攻擊服務(wù)器應用發(fā)起大量貌似合法的請求，耗盡服務(wù)器的處理性能?；ヂ?lián)網(wǎng)業(yè)務(wù)由單一的WEB網(wǎng)站發(fā)展成WEB網(wǎng)站、APP、API調用共存的多業(yè)務(wù)模式，傳統的CC防御是基于WEB網(wǎng)站業(yè)務(wù)特點(diǎn)進(jìn)行源挑戰認證，防御效果不佳；同時(shí)，越來(lái)越多的業(yè)務(wù)采用TLS加密模式，進(jìn)一步提升了CC防御難度；另一方面，CC攻擊通過(guò)高、低頻率攻擊混合的方式挑戰防御系統靈敏度，傳統依靠速率判定攻擊源的防御技術(shù)難以奏效；

　　DDoS攻擊越來(lái)越多的采用速戰速決的手法，根據《2021年H1全球DDoS攻擊現狀與趨勢分析》顯示， 53.56%的攻擊持續時(shí)間在10分鐘以?xún)?，依靠?zhuān)家經(jīng)驗進(jìn)行防御策略手工調優(yōu)的傳統手段無(wú)法及時(shí)應對攻擊。

　　華為根據大量IDC、云DC以及高防攻防對抗經(jīng)驗，創(chuàng )新地在HiSecEngine AntiDDoS系列產(chǎn)品上采用了NP加速+智能防御雙引擎，可以有效應對這些新挑戰。一方面，NP（Network Processor）加速引擎與CPU智能協(xié)同，實(shí)現對大流量DDoS攻擊的快速抵御，另一方面使用智能防御引擎提供多維度行為分析能力，結合滑動(dòng)窗口檢測算法，可以根據僵尸主機（機器人）訪(fǎng)問(wèn)服務(wù)器資源的規律性、周期性特征，快速識別、阻斷高頻的CC攻擊。

　　同時(shí)，為了提升防御效率，華為HiSecEngine AntiDDoS系列產(chǎn)品結合實(shí)時(shí)流量統計數據，智能判定防御效果并實(shí)現自動(dòng)策略調優(yōu)，將攻擊響應由10分鐘降低到秒級響應。針對大流量攻擊、CC攻擊的防御方法以及自動(dòng)化防御的技術(shù)細節如下：

　　NP+CPU分層防御處置大流量DDoS攻擊

　　隨著(zhù)新的UDP反射源、TCP反射源不斷被挖掘，大流量DDoS攻擊峰值帶寬不斷攀升，防御成本越來(lái)越高。T級攻擊在IDC行業(yè)逐漸常態(tài)化。

　　同時(shí)，大流量DDoS攻擊秒級加速，如下圖所示，平均每秒加速可以超過(guò)70Gbits，攻擊者通過(guò)“Fast Flooding”、脈沖攻擊手法達到理想的效果，不斷挑戰防御系統的響應速度。

　　華為HiSecEngine AntiDDoS系列產(chǎn)品通過(guò)NP和CPU智能協(xié)同、分層防御的架構，提供逐包檢測和毫秒級攻擊響應，有效降低了防御成本。CPU進(jìn)行逐包檢測，當檢測到網(wǎng)絡(luò )層大流量攻擊時(shí)，啟動(dòng)防御并將抵御大流量攻擊的“重任”卸載到NP防御流程，經(jīng)現網(wǎng)實(shí)測，單IP的“Fast Flooding”攻擊可在20毫秒內快速阻斷，針對200個(gè)C的掃段攻擊則可在30毫秒內有效阻斷。

　　智能化技術(shù)防御CC攻擊

　　HTTP CC攻擊是應用層最常見(jiàn)的攻擊手法，傳統基于HTTP 302重定向、JS等的源挑戰認證僅適合HTTP網(wǎng)站防護。隨著(zhù)互聯(lián)網(wǎng)業(yè)務(wù)變得復雜多樣化，HTTP流量不僅包含WEB網(wǎng)站，還攜帶了大量的APP、API調用，傳統DDoS防御手段無(wú)法有效識別。同時(shí)，越來(lái)越多的HTTP流量采用TLS加密，提升了CC攻擊防御復雜度，如下圖所示，HTTPS CC攻擊占比高達18%（HTTPS Flood 6.68%，TLS異常會(huì )話(huà)11.4%）。

　　為提升防御成本，CC攻擊多采用高頻CC和低頻CC混合的攻擊模式，如下圖所示。

　　基于業(yè)務(wù)訪(fǎng)問(wèn)的行為往往是突發(fā)性、無(wú)序的，而CC攻擊屬于機器人訪(fǎng)問(wèn)，攻擊目標URI具有相似性，且訪(fǎng)問(wèn)行為具有明顯的周期性。華為HiSecEngine AntiDDoS產(chǎn)品的智能化防護引擎提供多維度的源訪(fǎng)問(wèn)行為分析，精準鎖定攻擊資源，并結合滑動(dòng)窗口動(dòng)態(tài)模擬機器人攻擊的周期性特點(diǎn)，從而快速識別、阻斷高頻CC。

　　多維度行為分析防御技術(shù)徹底摒棄源挑戰認證的“侵入式”防御思路，能夠兼容各類(lèi)HTTP業(yè)務(wù)。尤其是在IDC防護場(chǎng)景下，運維人員很難以租戶(hù)來(lái)判定被攻擊IP的業(yè)務(wù)類(lèi)型，所以基于多維度行為分析的防御方法更加簡(jiǎn)單實(shí)用，對比針對攻擊人工調整防御策略，使用智能化防御引擎使得攻擊響應速度從分鐘級降至秒級，并且減少了防御效果對運維人員專(zhuān)業(yè)性的依賴(lài)度。

　　隨著(zhù)5G及IPv6的發(fā)展，僵尸數量也快速增長(cháng)，采用大量攻擊源降低單源CC頻率的攻擊方法已成為CC攻擊的新趨勢。面對海量僵尸源的單源低頻CC攻擊，華為HiSecEngine AntiDDoS系列產(chǎn)品針對攻擊源IP進(jìn)行多維度流量統計分析并上送到管理系統進(jìn)行智能離線(xiàn)學(xué)習，精準識別出攻擊源并針對攻擊流量進(jìn)行實(shí)時(shí)清洗。現網(wǎng)實(shí)際防御效果顯示，通過(guò)使用智能離線(xiàn)學(xué)習，19秒即可實(shí)現阻斷。

　　“自動(dòng)駕駛”降低運維難度

　　DDoS攻擊防御效果依賴(lài)防御策略的制定，防御策略配置不當，不僅導致攻擊漏防，更有誤防影響業(yè)務(wù)的風(fēng)險。好的抗D產(chǎn)品不僅要求防御技術(shù)具有先進(jìn)性，能應對快速演進(jìn)的DDoS攻擊，而且要求防御系統具有良好的易用性。

　　為了增加防御難度，DDoS攻擊越來(lái)越傾向于使用混合攻擊，運維人員通過(guò)手工調小防御閾值來(lái)抵御某種攻擊的同時(shí)也可能導致了業(yè)務(wù)的誤防。手工調優(yōu)在漏防和誤防之間尋求平衡需要花費了大量的時(shí)間成本，尤其是當發(fā)生海量僵尸單源低頻CC攻擊，依靠人工經(jīng)驗進(jìn)行策略調優(yōu)的過(guò)程變得更加困難，攻擊應急響應時(shí)間往往超過(guò)10分鐘。

　　為了改變DDoS攻擊防御依賴(lài)運維人員的專(zhuān)業(yè)性，華為HiSecEngine AntiDDoS系列產(chǎn)品使用大數據+智能技術(shù)，通過(guò)歷史流量日志離線(xiàn)分析+實(shí)時(shí)流量日志檢測，基于本地業(yè)務(wù)流量進(jìn)行多維度的基線(xiàn)學(xué)習，制作業(yè)務(wù)畫(huà)像并生成業(yè)務(wù)白名單。攻擊發(fā)生時(shí)，管理系統一方面根據基線(xiàn)自動(dòng)優(yōu)化防御策略有效抵御攻擊，一方面針對攻擊IP進(jìn)行防御策略“備份”，將策略調優(yōu)影響控制到最小范圍，保證業(yè)務(wù)的正常訪(fǎng)問(wèn)。同時(shí)，防御過(guò)程中會(huì )針對攻擊數據進(jìn)行收集，作為后期的攻擊溯源分析和復盤(pán)使用。

　　DDoS攻擊的不斷升級推動(dòng)著(zhù)防御技術(shù)的快速發(fā)展，華為不斷探索、創(chuàng )新，全新推出HiSecEngine AntiDDoS系列產(chǎn)品，依托NP加速+智能防御雙引擎，有效應對DDoS攻擊帶來(lái)的新挑戰。