一、ddos趨勢的一些變化
從今年3月份起,世界上最大的ddos攻擊記錄到了1.7 tbps,是乙個普通家庭頻寬出口的數十萬倍,幾乎可以橫掃網際網路,作為乙個生存了20年之久的古老攻擊形式,我們看到了今年來ddos攻擊量成指數級攀公升,不僅沒有出現頹勢,反而愈演愈烈。隨著物聯網的發展,數以億計的iot無辜的成為了ddos攻擊的」**」,這給網際網路的創業者帶來了無比的創業壓力,一方是如洪水般的ddos攻擊,一方是普通的網路出口頻寬,今天網際網路的ddos攻擊已經昭示了乙個不得不令人悲觀的事實,普通的企業根本不可能抵禦住海量的ddos攻擊,這是一場無法單靠拼技術就能打贏的戰役。
1.1 ddos攻擊的成本究竟有多高
美國雲安全技術服務公司armor發布的乙份報告揭示了暗網上針對各種網路犯罪相關服務實施的**標準。該報告是通過蒐羅數個知名的暗網市場資料總結出來的。據報告顯示,黑客可以用10美元/小時、200美元/天的**或者500—1200美元/周的**租用ddos攻擊。
另外,從搜尋引擎上也可以搜到很多類似的攻擊平台,ddos攻擊即服務,黑客跑的一點也不慢。
1.2ddos防禦為什麼這麼貴
眾所周知,防禦海量的ddos攻擊,就必須要有海量的防禦頻寬,我們經常看到很多的客戶提問說,主機上看到的惡意ddos的ip是否可以用安全組或者軟體防火牆封禁掉,也有客戶提到,為什麼阿里雲在網路入口不能封禁掉這些攻擊的ip。理論上,只要頻寬足夠,這樣做是可以起到效果的,但實際上客戶購買的主機頻寬很小,單純的用主機防火牆或者安全組只能過濾掉比頻寬小的流量,一旦頻寬被佔滿,那麼這些封禁策略都將無法工作。ddos攻擊就像洪水一樣必須要在入口處有堅固的堤壩,僅靠家門口的籬笆是無法阻擋住洪水的。
ddos防禦的主要成本是頻寬、機房資源、伺服器和清洗裝置,這些都屬於重資產資源,目前業界幾種產品形態分別存在於運營商、雲廠商、cdn廠商或者是idc機房中,但是由於各自的服務模式、商業模式、技術和產品形態的不一樣,在防禦的時候原理會有一些區別,但是無論什麼形態,都離不開前文所提到的這些資源。ddos攻防不對等的主要原因在於防禦廠商的這些資源必須是常備資源,以1個百g機房為例,一年的建設成本可能就需要上千萬人民幣,這還不算專業的服務人員和研發人員。隨著全網提速降費和肉雞資源增多,這種狀況只會越來越加劇。
**二、上雲後的ddos防禦最佳實踐
**依據防禦能力的不同,阿里雲上有不同的產品形態可以供使用者選擇,在企業上雲的不同階段,面臨的威脅不同,也可以選用不同的防禦產品來構建自身的安全體系,如下是阿里雲ddos防禦產品矩陣圖。
2.1ddos基礎防護雲產品預設自帶的防禦能力,針對海量客戶提供500m-5g的免費抗d能力,加入安全信譽聯盟之後,可以累積信譽值,獲得比5g更高的能力(限次)。
2.2ddos防護包
提供比5g更高的增值防禦能力,使用者可以不改變任何配置,直接提公升雲產品的防禦能力,部署簡單方便。
2.3ddos高防ip(bgp多線)
針對海量ddos攻擊的場景,需要把流量引入大流量清洗中心清洗,清洗完之後送回使用者的主機,相較與業界產品,阿里雲使用者可以享受到專線回源,獨享海量防禦頻寬的優勢。
2.4遊戲盾
針對攻擊的重災區遊戲行業推出的端到端到無上限防禦方案,防禦ddos攻擊,cc攻擊,遊戲連線性攻擊等各種複雜攻擊,提供按照業務規模收費的成長性服務機制。
**三、探索抗d服務的幾個發展方向
**3.1不設上限防禦服務
如今,一般的雲廠商都具備了上t的防禦能力,運營商也在逐步開放一些能力,防禦方的實力大大增強,我們已經觀察到了國外有廠商開始提供這種「unlimited」的服務,盡最大能力防護,意味著不再給使用者設定防禦上限,盡力防護到機房水位線為止,這種新的計費模式,充分發揮了雲的規模化優勢,使得客戶的防禦成本大大降低,也減少了客戶付費之後還被打進「黑洞」的風險。
3.2貼近業務,更具備成長性
遭受ddos攻擊的企業,一般還是以中小企業為主,目前ddos防禦的手段多以攻擊流量的大小來進行收費。但是,1.7t的攻擊出來之後,一般的企業基本上無法付費防住這麼大的攻擊,因此面對中小企業,按照業務價值大小付費的模式逐步發展起來。今年以來,遊戲盾也在進行這方面的嘗試,阿里雲推出了基於客戶業務日活數量來計費的服務,目前已經在內測申請階段,內測鏈結
3.3更快更穩的網路質量
抗d服務是一種應急類的安全產品,在出現攻擊的時候,需要用最快的反應時間來防禦住攻擊,因此客戶一般會常態化的將業務跑在高防機房裡。高可用的網路質量也是乙個考慮因素。為什麼高防的成本如此之高,其實主要看廠商將成本投向了哪個方面,如果是採用昂貴的bgp頻寬的話,那基本上是目前國內最好的頻寬了,再配合上雲上的專線回源,可以讓要求苛刻的遊戲業務的體驗做到極致。
**3.4資料與視覺化**
另外一方面,隨著ddos攻擊的不斷發展,其攻擊手段越來越複雜。在海量ddos攻擊發生的時候,完整的記錄下攻擊的詳細日誌,形成快速有效的實時分析資料,相比很多連控制台都不完整的idc高防,這種「看見」的能力越來越成為雲廠商的優勢。今年,阿里雲打造了全新的實時資料系統,能讓使用者看見更多的威脅,並且阿里雲的全量攻擊日誌追溯可以讓客戶看到過去發生的攻擊的詳細資訊。
四、對於ddos終局的一些思考**
這幾年,我們發現無論是攻擊手段的翻新還是防禦廠商的增多,整個市場似乎出現了非常火熱的現象,這其實跟整個網際網路環境的變化息息相關。諸多防禦廠商的湧入帶來的乙個好處是更多的資源湧入防禦方,使得大部分客戶都能找到符合自己需求的產品。未來會有更多的廠商加入進來,雲服務廠商已經將抗d服務作為乙個基礎的門檻產品,沒有抗d服務就沒有穩定的雲服務。
就任何一種攻擊而言,沒有攻擊就沒有防禦。我們相信,只要網際網路還存在,ddos攻擊就不會消失。當5t、10t的攻擊來臨的時候,也許只有所有的廠商聯合起來,才能真正打贏這場戰役。
這一切,還只是剛剛開始。
又一場戰爭
不同的是企業 城市,一南一北 同樣的是一片土地,隨之而來的都是一場戰爭。數十位作家發出了隱忍很久的 闡述了如下要求 當然,也可能是某一天我面壁靜坐突然頓悟有如神助地意識到了原來這麼做不對。總之,冰凍三尺,非一日之寒。我個人猜測,大部分 國人 都會如此 場景一 a 怎麼搞的,這店家賣的是假貨。b 那你...
又一場戰爭
不同的是企業 城市,一南一北 同樣的是一片土地,隨之而來的都是一場戰爭。數十位作家發出了隱忍很久的 闡述了如下要求 當然,也可能是某一天我面壁靜坐突然頓悟有如神助地意識到了原來這麼做不對。總之,冰凍三尺,非一日之寒。我個人猜測,大部分 國人 都會如此 場景一 a 怎麼搞的,這店家賣的是假貨。b 那你...
一場沒有硝煙的戰爭
人的一生,和時間,一直在進行著一場沒有硝煙的戰爭。這場戰爭,時快時慢,時而真實而殘酷,時而浪漫且幸福,時而痛徹心扉,時而快樂地無法抑制。與時間的戰爭,看似時間是我們的敵人,其實真正的敵人是我們自己。時間,它以摧枯拉朽之力風捲殘雲般清除著所有橫亙在它之前的一切障礙。不針對任何人,它只是規律的最好執行者...