继上文介绍了背景以及自研高性能防攻击产品的发展历程的前三段,我们今天把发展历程的最后一段以及未来面临的挑战继续分享给大家。
四、智能化防御和大数据能力
阿里巴巴集团每天流量型的DDoS攻击次数不下几千次,攻击流量从几十M到几百G不等,攻击持续时间也长短不一,有数据表明这里大部分攻击都在1个小时以内结束,但是很多攻击者在攻击过程中会因为无法达到目的而不断地尝试更换攻击方式,这就带来非常大的挑战,原本一套清洗模板用到底的模式不再简单适用了。因为,尝试使用一套万能的模板带来的问题可能就是当前不存在的攻击方式对应的策略如果强制开启就可能引入正常流量受到影响的问题。
在原有防御算法基础上我们提出了Smart智能化防御的概念,简单来说就是在攻击过程中,如果攻击者不断更换攻击方式,我们可以通过对攻击流量做实时分析,判断出当前的攻击类型,根据攻击类型的变化在非常短的时间内秒级实现防御策略的调整收敛。图4是一个基本的智能化防御的模型,核心的逻辑从上到下基本上分成三个角色:通过分析攻击信息,判断攻击类型,对防御策略做实时的调整,保证清洗效果的同时,减少了大量的人力投入,实现了真正的自动化,智能化防御。
采用智能化防御模型之后,我们在具备了抗大流量攻击能力的基础上,能够更一步地提供更多信息,而且具备实时更新的能力:
- 现在谁在攻击我?
- 攻击流量分别有多大?
- 攻击的目标地址,域名是什么?
- 在攻击全过程中,黑客都采用了什么样的攻击手段?
一方面发动攻击的肉鸡信息和每时每刻的攻击量已经被我们实时记录,另一方面被攻击的目标,不管是域名还是目标IP也都会被实时统计出来,为smart模型提供强有力的数据支撑。数据在实现实时支撑业务逻辑的同时,每天积累的大量数据已经形成了一张无形的网,为后续更进一步的攻击溯源,立案侦查提供强有力的证据。
图4 Smart智能化防御的基本模型
未来的挑战
每天线上的攻击者都在尝试研究我们的攻击防护策略,并想方设法地绕过清洗策略,所以挑战时刻都存在。
如何才能应对日益复杂的攻击类型:一方面我们的基本防护策略的迭代更新一直都在进行中,攻击和防御的联动从未停止过脚步;另一方面我们已经具备高性能的深入到数据包内部的DPI能力,让攻击者的攻击手法无处遁形;同时在此基础上会通过引入更高性能的协议栈来解决更多复杂的攻击类型,提升4-7层整体的清洗能力。
如何面对更大流量的攻击:在现有大流量DDoS攻击已经成为互联网的家常便饭,我们在拥有足够的接入带宽的同时也可以考虑其他的方式作为一个补充,比如在攻击的发起一侧终结非法的流量。当然要想终结大流量DDoS攻击,需要在足够多的地方拥有清洗攻击流量的能力,所以就近攻击源的清洗方案也是一个非常好的选择。另一方面,一些新的网卡或可编程芯片也是值得我们关注的,特别是阿里在16年11月投资的Barefoot的Tofino芯片单片处理能力达到惊人的6.5Tbps,对我们来说自研定制化能力的未来想象空间也是非常巨大的。
