DDoS猖獗?异构DDoS清洗系统前来救驾!

本文由极御云安全xSec团队撰写,未经授权禁止转载!

上篇文章中,我们讲到了【如何选择DDoS清洗系统的硬件架构?】,那么这篇博客将为您揭开极御云安全xSec团队艰苦攻坚研发的云甲DDoS清洗系统的面纱。

先来看下云甲DDoS清洗系统的硬件架构:

可以从上图中看出,极御云安全云甲DDoS清洗系统是采用异构方式组成了完整的DDoS清洗系统。

Layer 3和Layer 4的DDoS攻击由FPGA芯片实现线速超低延迟的清洗,清洗后的流量通过PCI-E总线送到自研的DPDK框架中进行进一步的Layer 7攻击的清洗或者直接转发。

xSec团队整理了一下Layer 3、Layer 4以及Layer 7的DDoS攻击类型供大家参考:

攻击方式 伪造源IP OSI 攻击原理
ICMP攻击 支持 Layer 3 发送大量垃圾ICMP流量,拥塞目标IP网络
IP碎片攻击 支持 Layer 3 发送大量IP分片流量,拥塞目标IP网络并导致交换机CPU负荷提高
IGMP攻击 支持 Layer 3 发送大量的IGMP报文流量,拥塞目标IP网络并导致交换机CPU符合提交
TCP-SYN攻击 支持 Layer 4 发送大量伪造或者无用的SYN流量,拥塞目标IP网络或导致目标服务器不堪重负瘫痪
TCP SYN ACK反射攻击 支持 Layer 4 发送大量伪造源IP的TCP SYN ACK报文到目标服务器,使得目标IP网络拥塞并且出现大量的上行带宽浪费
TCP ACK攻击 支持 Layer 4 发送大量无效的TCP ACK报文流量到目标服务器,拥塞目标IP网络
TCP RST攻击 支持 Layer 4 发送大量无效的TCP RST报文流量到目标服务器。拥塞目标IP网络
TCP PSH攻击 支持 Layer 4 发送大量无效的TCP PSH报文流量到目标服务器,拥塞目标IP网络
TCP碎片攻击 支持 Layer 4 发送大量TCP碎片报文流量到目标服务器,拥塞目标IP网络,并导致目标服务器系统忙于处理碎片
UDP攻击 支持 Layer 4 发送大量无效或者重放的UDP报文流量到目标服务器,拥塞目标IP网络或让防火墙无法识别防御
UDP碎片攻击 支持 Layer 4 发送大量无效的UDP碎片报文到目标服务器,拥塞目标IP网络并让服务器系统忙于处理碎片
UDP放大攻击 伪造受害服务器IP Layer 4 通过利用基于UDP协议设计的业务存在的漏洞,向放大器发送含有受害者服务器IP的报文,使得受害者服务器收到大量恶意的放大流量攻击,导致网络拥塞。
WEB-CC攻击 不支持 Layer 7 向WEB服务器发起大量的HTTP请求,导致被攻击的WEB服务器出现IP网络拥塞和CPU跑满,业务彻底瘫痪。
TCP空连接攻击 不支持 Layer 7 向目标服务器的端口发起大量的TCP连接请求,建立连接后不断开耗尽目标服务器系统资源导致服务器瘫痪。
畸形协议攻击 部分支持 Layer 3/4/7 向目标服务器发送不符合协议规范或者恶意构造的协议数据,导致目标服务器瘫痪或死机。

讲完了完了DDoS攻击类型和危害后,我们继续来揭开云甲DDoS清洗系统的面纱。

Layer 3和Layer 4的攻击大部分都是以超大攻击流量拥塞目标网络为目的,所以清洗系统在研发的时候必须要考虑在出口带宽足够清洗攻击的情况下如何快速清洗掉DDoS攻击,并且保持清洗系统整体的可靠性和稳定性。

基于上面的诉求,我们采用了Xilinx Virtex UltraScale+ VU13P作为我们的Layer 3和Layer 4的DDoS攻击清洗的核心芯片,来保证DDoS系统拥有极强的Layer 3和Layer 4 DDoS攻击清洗能力。

下面将介绍一下我们如何利用强大的Xilinx Virtex UltraScale+ VU13P构建Layer 3和Layer 4 DDoS攻击清洗引擎。

先从DDoS清洗流程做分析:
极御云安全的Layer 3和Layer 4的DDoS清洗系统拥有:[匹配引擎] [过滤引擎] [行为引擎]
云甲DDoS清洗系统过滤Layer 3和Layer 4 DDoS的攻击流程如下:
   - - - -[匹配引擎]< - - - - |
  |           |              |
  |           |(无匹配)       |(加入黑名单或白名单)
  |           V              |
  |       [过滤引擎]- - - - - -
  |           |
  |           |
  |           V       (记录)
  | - - ->[行为引擎]- - - - - -> [日志模块]
              |
              |(放行)
              V
          [x86-DPDK]

得益于FPGA的流水线,极御云安全可以在2U的机架式2U机箱(3张Bittware XUSP3S 或 Bittware XUPVV4)里实现:

串联部署
 入向端口:2个100GbE
 出向端口:2个100GbE
 清洗性能:200Gbps / 280Mpps
 保护IP:无上限

旁路部署
 旁路双臂
  清洗端口:2个100GbE
  回注端口:2个100GbE
  清洗性能:200Gbps / 280Mpps
  保护IP:无上限
 旁路单臂
  清洗端口:共用4个100GbE
  回注端口:共用4个100GbE
  清洗性能:400Gbps / 560Mpps
  保护IP:无上限

为了提供更好更优质的DDoS清洗服务,极御云安全采用了串联部署模式部署,在可以不增加成本的情况下,可以提升清洗效果和用户体验。

说完了基于FPGA实现的Layer 3和Layer 4的DDoS攻击速清洗能力后,我们也来看下xSec团队用了哪些算法来保障Layer 3和Layer 4的DDoS清洗效果。

TCP协议类的DDoS攻击防御算法:
TCP-SYN攻击:自研SYN-SHIELD算法,支持旁路和串联模式,得益于算法先进,防御探测报文极少。
TCP-SYN+ACK攻击:自研SYN-SHIELD算法,支持旁路和串联模式,得益于算法先进,防御探测报文极少。
TCP-ACK攻击:采用TCP Session检测的方式防御TCP-ACK攻击。
TCP-FIN攻击:采用TCP Session检测和TCP Sequence Number检测方式防御TCP-FIN攻击。
TCP-RST攻击:采用TCP Session检测和TCP Sequence Number检测方式防御TCP-RST攻击。
TCP-PSH攻击:采用TCP Session检测和TCP Sequence Number检测方式防御TCP-PSH攻击。

ICMP协议类的DDoS攻击防御算法:
ICMP攻击:自研ICMP报文学习算法,自动采样并学习报文特征,自动生成ACL过滤规则,极端情况丢弃攻击发生后源IP的ICMP报文。

UDP协议类的DDoS攻击防御算法:
UDP攻击:自研UDP报文学习算法,自动采样并学习报文特征,自动生成ACL过滤规则,极端情况丢弃攻击发生后源IP的UDP报文。

IGMP协议类的DDoS攻击防御算法:
IGMP攻击:限制IGMP协议流量和报文数量,极端情况可创建ACL丢弃IGMP协议流量。

未知协议类的DDoS攻击防御算法:
未知流量攻击:限制未知流量和报文数量,极端情况可创建ACL丢弃未知协议流量。

有了这些Layer 3和Layer 4的DDoS防御算法,极御云安全能够利用自营的多个DDoS清洗中心的防御能力为用户提供Tb级别的DDoS攻击防御服务。

但是光有这Layer 3和Layer 4的DDoS攻击防御能力还是不够的,因为攻击者还可以攻击Layer 7的服务,例如攻击WEB服务器、攻击游戏网关、攻击DNS服务器等等,针对这种Layer 7的DDoS攻击,极御云安全xSec团队将FPGA芯片清洗完毕的流量通过PCI-E接口传送给基于DPDK框架的AI-Engine智慧CC防御引擎,利用AI-Engine智慧CC防御引擎对CC攻击进行防御。

我们也将基于DPDK框架的AI-Engine智慧CC防御引擎的处理流程简单的介绍一下:

AI-Engine智慧CC防御引擎:
极御云安全的AI-Engine智慧CC防御引擎拥有:[HTTP CC攻击防御模块] [Game CC攻击防御模块] [DNS Query攻击防御模块] [协议数据限流模块]
AI-Engine智慧CC防御引擎过滤Layer 7的DDoS攻击流程如下:
               [x86-DPDK]
                    |
                    |
                    V
- - - - - - -[IP黑名单|IP白名单]<- - - - - - |
|                   |                      |
|                   |                      |
|                   V                      |
|           [防御模块触发引擎]               |(源IP加入黑名单或白名单)
|                   |                      |
|                   |                      |
|                   V                      |
| - - ->[攻击防御模块(xx攻击防御模块)]- - - - -
                    |
                    |
                    V
            [协议数据限流模块]

由于采用了真正意义上的分层清洗架构,使得DDoS防御更加精细,性能更高,清洗效果更佳。

事实上FPGA芯片级DDoS清洗系统+AI-Engine智慧CC防御引擎是由两种硬件架构组成的一个异构DDoS清洗系统,完美利用FPGA Pipeline的优势和x86的高主频优势实现了灵活又高效的DDoS清洗方案,同时AI-Engine智慧CC防御引擎只并没有集成任何Layer 3和Layer 4的DDoS清洗算法,这样能够确保清洗过程不存在任何冲突,真正意义上实现了各司其职,互不干扰的防御能力。

最后来介绍一下云甲DDoS清洗系统中的AI-Engine智慧CC防御系统是如何防御Layer 7的DDoS攻击的:

防御WEB协议的CC攻击(只能防御HTTP协议,HTTPS和HTTP2协议无法防御,需要极御云安全的抗D云WAF进行防御):
  1. [JS-XoR_Encryption + Cookies]算法:能够防御90%的CC攻击类型,以及一部分变种CC攻击,用户体验良好,防御过程访客无感知。
  2. [CAPTCHA + Cookies]算法:防御100%的CC攻击类型,以及所有变种CC攻击,但是用户需要输入验证码等方式通过验证。

防御GAME协议的CC攻击(较为通用的防御算法,适合游戏业务)
  1. [TCP连接数限制]:通过限制被保护的业务端口的连接数进行防御,防止突发大量TCP连接请求拥塞服务器。
  2. [TCP连接缓存]:对TCP连接进行缓存,防御TCP空连接攻击。

防御DNS协议的Query攻击
  1. [DNS Cache]:自动对DNS服务器的查询结果进行动态缓存,能够代替DNS服务器提供超高QPS性能的DNS服务。
  2. [DNS随机查询]:启用后可以丢弃非缓存中的查询请求,避免DNS服务器遭受递归攻击和随机查询攻击。

协议流量限制模块
  1. [WEB协议限流]:允许限制进入服务器的WEB请求数量和源IP请求数量,防止WEB服务器过载。
  2. [GAME协议限流]:允许限制进入服务器的新建TCP请求和源IP的新建TCP请求,防止服务器资源耗尽。
  3. [DNS协议限流]:允许限制进入服务器的DNS查询请求数量和源IP的DNS查询请求数量,防止DNS服务器过载。
  4. [自定义协议限流]:允许自定义协议限流规则,用于防护特定协议和业务。

在介绍了极御云安全xSec团队研发的云甲DDoS清洗系统后,相信您可以了解我们为何可以如此自信的防御DDoS攻击了。

最后放一张我们某DDoS清洗中心部署的云甲DDoS清洗系统集群照片。

下图是1Tbps的云甲DDoS清洗系统集群,一共由5台服务器组成。

下图是800Gbps的云甲DDoS清洗系统集群,一共由4台服务器组成。

再来一张大图,让供大家参观- –

我们期待与您一同成长,为用户提供更具性价比的DDoS云清洗解决方案,愿在创业的崎岖坎坷之路上与您一路相伴,风雨无阻,共同度过漫漫黑夜,迎接黎明的光辉。

赞(0)
未经允许不得转载:极御云安全官方博客 » DDoS猖獗?异构DDoS清洗系统前来救驾!
分享到: 更多 (0)

评论 抢沙发

马上开启您的安全之旅

立即开启