黑客借刀殺人阿里14年經(jīng)驗(yàn)安全大佬教你如何防御DDoS攻擊

【CSDN編者按】DDoS攻擊近幾年來非經(jīng)常見，許多知名的平臺(tái)網(wǎng)站都遭遇過。當(dāng)應(yīng)用層DDoS攻擊當(dāng)前已經(jīng)是很常見的攻擊類型之時(shí)，對(duì)于程序員而言，有哪些必須把握的DDoS攻擊的知識(shí)點(diǎn)，更為 關(guān)鍵的是，如何進(jìn)行有效的防御實(shí)踐？在「CSDN在線峰會(huì)——阿里云核心技術(shù)競爭力」上，在系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)安全領(lǐng)域擁有14年研究經(jīng)驗(yàn)的阿里云資深安全專家葉敏深入分享了新型應(yīng)用層DDoS攻擊防御的很佳實(shí)踐，希望能夠?qū)λ屑夹g(shù)人有所啟發(fā)及裨益。

復(fù)制鏈接或點(diǎn)擊「閱讀原文」可免費(fèi)觀看葉敏老師分享視頻：

s://edu.csdn.net/course/play/28249/388361

作者|葉敏，阿里云資深安全專家

責(zé)編|唐小引

頭圖|CSDN下載自東方IC

出品|CSDN（ID：CSDNnews）

一、應(yīng)用層DDoS攻擊介紹

DDoS攻擊長久以來困擾著互聯(lián)網(wǎng)企業(yè)，從我們?cè)贫鼙O(jiān)測到的DDoS攻擊流量峰值來看，很近幾年攻擊流量在大幅上漲，從2021年我們對(duì)外公布防御了全球很大的DDoS攻擊，453.8Gbps，到現(xiàn)在T級(jí)別的DDoS也變得很常見。

大流量DDoS攻擊存在了很多年，雖然攻擊流量一直在增長，但是攻擊類型變化不大，一直以SYNFlood、UDPFlood、UDP反射攻擊為主。針對(duì)大流量攻擊已經(jīng)有了非常有效的防御手段，以前這種大流量攻擊碰到安全設(shè)備時(shí)，就像進(jìn)了黑洞一樣被吞噬，防御成功率很高，但是黑客們不服輸，他們向這個(gè)黑洞發(fā)起了新的挑戰(zhàn)。

假如把攻擊流量偽裝成正常業(yè)務(wù)的流量，那么安全防御設(shè)備就很難區(qū)分出攻擊流量，這樣就能穿過防御設(shè)備攻擊到后端的應(yīng)用，這就是應(yīng)用層DDoS攻擊，也叫CC（ChallengeCollapsar）攻擊，就是挑戰(zhàn)黑洞的意思。

二、應(yīng)用層DDoS的攻擊方式

應(yīng)用層DDoS很近幾年越來越受到黑客的青睞，從監(jiān)測到的數(shù)據(jù)來看，應(yīng)用層DDoS攻擊在2021年就有翻倍增長。

除了簡單繞過防御設(shè)備，還有一個(gè)重要的原因是應(yīng)用層DDoS攻擊更加高效，因?yàn)閼?yīng)用層的攻擊都要觸發(fā)上層應(yīng)用的處理邏輯，其中可能有數(shù)據(jù)庫查詢、遠(yuǎn)程API調(diào)用、文件讀寫，甚至有復(fù)雜的計(jì)算邏輯，所以這些流量會(huì)對(duì)服務(wù)端帶來更大的壓力。攻擊者精心挑選的帶有復(fù)雜邏輯的URL進(jìn)行攻擊，可以用很小的流量對(duì)應(yīng)用或數(shù)據(jù)庫產(chǎn)生巨大壓力。攻擊者不需要用到很大的帶寬，甚至對(duì)服務(wù)端只有小幅度的QPS上漲，讓檢測和防御都變得更有挑戰(zhàn)。

DDoS攻擊很典型的方式是僵尸網(wǎng)絡(luò)，黑客控制了大量的傀儡主機(jī)（肉雞或bot）向目標(biāo)發(fā)起攻擊。這些傀儡主機(jī)可能是服務(wù)器、PC、手機(jī)或IoT設(shè)備。

在應(yīng)用層DDoS攻擊中，我們發(fā)現(xiàn)另一種借刀殺人的攻擊方式也很常見，黑客在一些熱門的網(wǎng)頁中嵌入了帶有攻擊行為的JavaScript代碼，當(dāng)訪問者打開這些網(wǎng)頁時(shí)，瀏覽器就循環(huán)對(duì)目標(biāo)發(fā)起攻擊，在一些停留時(shí)間比較長的網(wǎng)頁，比如長篇小說或小電影網(wǎng)站，再加上不停的有新用戶訪問，攻擊就會(huì)持續(xù)很長時(shí)間。雖然黑客沒有控制這些設(shè)備的權(quán)限，但是他借助這些正常用戶的瀏覽器實(shí)現(xiàn)了大規(guī)模的應(yīng)用層DDoS攻擊。

互聯(lián)網(wǎng)上/S服務(wù)占比很大，所以針對(duì)/S協(xié)議的應(yīng)用層DDoS攻擊也是很常見的，我們把它叫Flood。雖然都是發(fā)起請(qǐng)求，但是也有不同的方式，防御的難度也不一樣。我們分析過很多DDoS木馬，有些直接拼接報(bào)文內(nèi)容發(fā)送給服務(wù)端，這種通常攻擊手法比較單一，而且也沒有考慮Cookie和跳轉(zhuǎn)，更不能執(zhí)行JavaScript。

進(jìn)一步我們發(fā)現(xiàn)有些木馬使用現(xiàn)成的庫，它對(duì)協(xié)議的支持更完善，部分可以支持Cookie和跳轉(zhuǎn)，但沒有瀏覽器引擎所以不能執(zhí)行JavaScript。

再進(jìn)一步我們發(fā)現(xiàn)帶有瀏覽器引擎的攻擊方式，它其實(shí)就是個(gè)無窗口的瀏覽器，可以完整的支持Cookie、跳轉(zhuǎn)和JavaScript。我們也發(fā)現(xiàn)直接使用瀏覽器進(jìn)行攻擊的，有Windows平臺(tái)的惡意軟件中嵌入IE控件，移動(dòng)App中嵌入WebView控件，前面講到的熱門網(wǎng)頁嵌入JavaScript也是瀏覽器攻擊的例子。因?yàn)楣袅髁勘旧砭褪菫g覽器發(fā)起的請(qǐng)求，所以這種識(shí)別難度更大。

另外一種應(yīng)用層DDoS攻擊是針對(duì)SSL，據(jù)統(tǒng)計(jì)全球超過85%的網(wǎng)頁已經(jīng)啟用S協(xié)議了，所以攻擊目標(biāo)范圍很大。我們知道建立一個(gè)SSL連接的開銷是比較大的，有人分析過，建立一個(gè)SSL連接服務(wù)端消耗的計(jì)算資源是客戶端的15倍，所以假如攻擊者向目標(biāo)服務(wù)器發(fā)起大量SSL連接握手，就會(huì)對(duì)目標(biāo)服務(wù)器產(chǎn)生巨大的性能壓力。這里還有一個(gè)挑戰(zhàn)在于，只有在SSL握手完成以后，才會(huì)傳輸應(yīng)用層的數(shù)據(jù)內(nèi)容，所以通過數(shù)據(jù)包內(nèi)容來檢測攻擊，在這里就不適用。

前面講的很多攻擊方式跟/S業(yè)務(wù)有關(guān)系，但是私有協(xié)議也是存在應(yīng)用層DDoS攻擊的，這個(gè)在很多游戲業(yè)務(wù)中比較常見。一些粗暴的攻擊方式是建立TCP連接后，發(fā)送隨機(jī)的垃圾數(shù)據(jù)，一般情況下服務(wù)端碰到非法數(shù)據(jù)會(huì)直接斷開這個(gè)連接。

但是也有一些耐心的攻擊者，對(duì)正常的業(yè)務(wù)流量進(jìn)行抓包，然后用重放的方式對(duì)目標(biāo)發(fā)起攻擊，一方面是這種正常的流量會(huì)讓服務(wù)端執(zhí)行更多的業(yè)務(wù)邏輯計(jì)算，比如登錄操作需求查詢數(shù)據(jù)庫，從而產(chǎn)生更大的攻擊效果，另一個(gè)方面是很難把重放流量跟正常用戶流量區(qū)分開來，對(duì)檢測和防御有更大挑戰(zhàn)。

從這些攻擊方式中可以看到，應(yīng)用層DDoS攻擊不再是簡單粗暴的大流量沖擊，而是攻擊者精心構(gòu)造的數(shù)據(jù)包，偽裝成正常流量繞過防御設(shè)備，攻擊后端的應(yīng)用和服務(wù)。

三、傳統(tǒng)的應(yīng)用層DDoS防御方案

傳統(tǒng)的防御策略是頻率限制，在源IP、URL精度進(jìn)行限速，攔截高頻的訪問者。目前大多數(shù)CC防御產(chǎn)品都向用戶提供限速功能。但是頻率限速有很多缺陷，因?yàn)椴煌臉I(yè)務(wù)QPS差異很大，默認(rèn)的限速策略并不能適用于所有場景，比如如下所示，第一個(gè)流量圖，峰值流量達(dá)到20萬QPS，而第二個(gè)圖峰值才2萬QPS，我們直覺上判定第二個(gè)是攻擊行為，但是顯然這兩個(gè)業(yè)務(wù)不能用相同的限速策略的。

另一個(gè)問題是，當(dāng)一個(gè)網(wǎng)站訪問量很大時(shí)，一些脆弱的接口能承受的QPS又很低，全局的限速策略就不適用了。粗暴的攔截IP還可能引起誤傷，假如一個(gè)源IP訪問量過大就把IP加黑名單，有可能將NAT出口IP拉黑，在大的公司、學(xué)校里有一個(gè)人發(fā)起攻擊就把整個(gè)出口IP攔截了會(huì)影響到正常用戶的訪問。

所以應(yīng)用層DDoS防御有個(gè) 關(guān)鍵點(diǎn)是要做更精細(xì)化的策略，很多CC防御產(chǎn)品支持用戶自定義策略，將指定的數(shù)據(jù)包丟掉。對(duì)于非協(xié)議，部分產(chǎn)品提供讓用戶配置報(bào)文過濾特征，對(duì)協(xié)議，多數(shù)安全產(chǎn)品都提供用戶配置各個(gè)維度的組合攔截條件。但是DDoS防御都是爭分奪秒的，這種人工分析和配置策略存在嚴(yán)重的滯后性。另外這種策略非常依靠安全專家經(jīng)驗(yàn)，以及對(duì)業(yè)務(wù)的了解。

一些自動(dòng)化的方案也在廣泛使用，大家可能碰到過訪問一個(gè)網(wǎng)站時(shí)出現(xiàn)一個(gè)白屏頁面，上邊提示在做安全檢測，幾秒鐘后跳轉(zhuǎn)到目標(biāo)頁面，這個(gè)叫JavaScript挑戰(zhàn)。服務(wù)端向客戶端返回一個(gè)校驗(yàn)頁面，里邊包含了校驗(yàn)瀏覽器的JavaScript代碼，假如用真實(shí)瀏覽器訪問并且有正常用戶行為，就可以校驗(yàn)通過。它也有一些缺點(diǎn)，就是只適用于網(wǎng)頁，假如是API接口，這種挑戰(zhàn)會(huì)讓正常業(yè)務(wù)中斷，另外也不適用于非協(xié)議。

人機(jī)校驗(yàn)方式也被用于應(yīng)用層DDoS防御，包括圖形驗(yàn)證碼或者需要用戶點(diǎn)擊、滑動(dòng)的校驗(yàn)方式，這種做法雖然很多場景在使用，但非常影響用戶體驗(yàn)，而且它同樣存在缺陷，只能適用于網(wǎng)頁，不能用于API接口和非協(xié)議。

四、智能化的防御方案

1.縱深防御的架構(gòu)

這些方案都存在一定的缺陷，沒有一個(gè)方案是可以解決所有場景下的DDoS攻擊，所以我們?cè)诤芙鼛啄曜隽艘粋€(gè)縱深防御方案，考慮到了各種不同的攻擊方式，我們從多個(gè)維度進(jìn)行了流量分析和防御，包括數(shù)據(jù)包內(nèi)容特征、訪問行為、客戶端挑戰(zhàn)和智能化的限速，其中大量應(yīng)用了自動(dòng)化分析建模，精細(xì)到每個(gè)業(yè)務(wù)、每個(gè)URL進(jìn)行訪問基線分析，自動(dòng)發(fā)現(xiàn)其中的異常，并且基于阿里云的優(yōu)勢大規(guī)模應(yīng)用了威脅情報(bào)技術(shù)。以下圖中大部分新的防御手段都是為防御應(yīng)用層DDoS攻擊而設(shè)計(jì)的。

2.智能的自適應(yīng)方案

不管是默認(rèn)的防護(hù)模板，還是讓用戶去配置，都不是個(gè)好的方案。當(dāng)有大量不同業(yè)務(wù)的時(shí)候，我們必須要一個(gè)自適應(yīng)的方案，根據(jù)業(yè)務(wù)的歷史流量自動(dòng)分析出正常情況下的基線，基于這個(gè)基線去發(fā)現(xiàn)異常，并阻斷異常請(qǐng)求。

難點(diǎn)一：如何自動(dòng)刻畫業(yè)務(wù)基線，并避免歷史攻擊的干擾？

比如以下圖中第一個(gè)流量圖，我們能夠自動(dòng)識(shí)別出來它的周期性波動(dòng)并生成它的頻率基線，雖然峰值QPS非常高，但是它符合歷史頻率基線，所以我們判定它是正常行為。第二個(gè)圖，雖然峰值QPS不高，但是它不符合歷史基線，所以判定存在攻擊行為。

整個(gè)過程需要基于數(shù)據(jù)自動(dòng)完成，因?yàn)樵诖嬖诖罅坎煌瑯I(yè)務(wù)的情況下，人工標(biāo)注是不現(xiàn)實(shí)的。同時(shí)，倘若網(wǎng)站歷史上存在攻擊，也需要自動(dòng)剔除攻擊時(shí)的數(shù)據(jù)，避免干擾。

難點(diǎn)二：如何在攻擊第一時(shí)間發(fā)現(xiàn)異常并作出處置？

發(fā)現(xiàn)流量存在異常僅僅是第一步，很重要的是識(shí)別出來哪些流量是異常的，并且自動(dòng)生成策略把它阻斷掉。每個(gè)業(yè)務(wù)的流量都不一樣，攻擊方式也千變?nèi)f化，顯然不能用一個(gè)固定的特征去區(qū)分出攻擊流量和正常流量。同樣的，找出攻擊流量的 關(guān)鍵是要知道正常流量長什么樣，我們從幾十個(gè)維度，在業(yè)務(wù)正常的時(shí)候?qū)W習(xí)出流量的基線畫像，精細(xì)到每個(gè)域名、每個(gè)端口、每個(gè)URL，同樣也是千人千面。當(dāng)發(fā)生攻擊時(shí)，流量分析引擎可以根據(jù)當(dāng)前流量和基線的對(duì)比，自動(dòng)生成攔截攻擊流量的策略。

3.降維打擊的協(xié)同防御

在阿里云我們天天防御了海量的攻擊，每一次防御都是可以輸出有價(jià)值的信息用于保護(hù)更多的其他客戶。

就像免疫系統(tǒng)一樣，一個(gè)客戶遭受過一種類型的攻擊，該攻擊情況就會(huì)進(jìn)入威脅情報(bào)系統(tǒng)中，自動(dòng)分析出攻擊手法和攻擊源IP特性，并生成多維度的針對(duì)性方案。下次再發(fā)生這種攻擊時(shí)，所有客戶都可以受到保護(hù)。

五、應(yīng)用層DDoS攻防的發(fā)展

DDoS防御需要爭分奪秒，能快一分鐘，業(yè)務(wù)中斷就少一分鐘，整個(gè)防御系統(tǒng)要足夠?qū)崟r(shí)。在流量的采集、分析和攔截都要做到實(shí)時(shí)化，尤其是攻擊流量大的時(shí)候，實(shí)時(shí)分析對(duì)整個(gè)鏈路的性能都有很大挑戰(zhàn)。要做到足夠快，人工分析一定是來不及的，必須要足夠自動(dòng)化、智能化，通過離線的基線畫像計(jì)算，加上實(shí)時(shí)的智能策略，我們現(xiàn)在做到了95%以上的應(yīng)用層DDoS攻擊都可以在3分鐘內(nèi)自動(dòng)防御成功，將業(yè)務(wù)恢復(fù)，因?yàn)檎麄€(gè)分析決策鏈路長，其中還是有很大改進(jìn)空間。

應(yīng)用層DDoS還有很多挑戰(zhàn)等著我們?nèi)ソ鉀Q，誤殺問題是其中一個(gè)，當(dāng)業(yè)務(wù)有促銷、秒殺活動(dòng)時(shí)，短時(shí)間內(nèi)流量激增，部分秒殺場景中大量IP集中訪問一個(gè)頁面，甚至此時(shí)正常業(yè)務(wù)就已經(jīng)受到影響，服務(wù)端響應(yīng)過慢了，此時(shí)各個(gè)維度都跟正常基線相關(guān)非常大，攻擊檢測系統(tǒng)很簡單將這種行為誤判為DDoS攻擊。

另外一個(gè)難題是，防御系統(tǒng)非常依靠業(yè)務(wù)的基線畫像做防御策略，假如一個(gè)新上線的業(yè)務(wù)就遭受攻擊，或者業(yè)務(wù)剛接入防御系統(tǒng)，此時(shí)防御系統(tǒng)缺少該業(yè)務(wù)的畫像，并不知道它正常流量是怎樣的，防御效果就會(huì)大打折扣。另外一個(gè)問題也發(fā)生過多次，在一些業(yè)務(wù)中客戶端有重連的邏輯，或者出錯(cuò)后重傳的邏輯，假如客戶端邏輯設(shè)置不當(dāng)，當(dāng)服務(wù)端發(fā)生異常時(shí)不斷重連或重傳，也簡單誤判為攻擊行為，導(dǎo)致整個(gè)IP被封禁。針對(duì)這些防御缺陷，我們也在設(shè)計(jì)新的技術(shù)方案，包括訪問源、客戶端的信譽(yù)評(píng)分，盡量減少對(duì)正常用戶的誤殺。

從歷史發(fā)展來看，DDoS的攻防技術(shù)一直在發(fā)展，但是攻擊和防御從來都沒有哪一方是占據(jù)絕對(duì)優(yōu)勢的，雙方的技術(shù)總是在螺旋上升。只要有利益存在，黑客就會(huì)不斷挑戰(zhàn)我們的防御方案，雖然今天我們做了大量防御技術(shù)上的創(chuàng)新，但是道高一尺，魔高一丈，黑客一定會(huì)研究新的攻擊技術(shù)繞過我們的防御系統(tǒng)，從簡單、粗暴的攻擊方式往精細(xì)化、智能化方向發(fā)展，進(jìn)而迫使我們研究新的防御技術(shù)，未來攻擊和防御技術(shù)都會(huì)邁上一個(gè)新的臺(tái)階。

作者簡介：葉敏，阿里云資深安全專家，在系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)安全領(lǐng)域有14年研究經(jīng)驗(yàn)，阿里反釣魚、云盾反入侵、網(wǎng)絡(luò)安全產(chǎn)品技術(shù)負(fù)責(zé)人，在網(wǎng)絡(luò)安全攻防方面有豐富的經(jīng)驗(yàn)，其主導(dǎo)建設(shè)的多項(xiàng)安全技術(shù)保護(hù)了阿里云百萬級(jí)客戶。

作為“百萬人學(xué)AI”的重要組成部分，2020AIProCon開發(fā)者萬人大會(huì)將于6月26日通過線上直播形式，讓開發(fā)者們一站式學(xué)習(xí)了解當(dāng)下AI的前沿技術(shù)研究、核心技術(shù)與應(yīng)用以及企業(yè)案例的實(shí)踐經(jīng)驗(yàn)，同時(shí)還可以在線參加出色多樣的開發(fā)者沙龍與編程項(xiàng)目。參與前瞻系列活動(dòng)、在線直播互動(dòng)，不僅可以與上萬名開發(fā)者們一起交流，還有機(jī)會(huì)贏取直播專屬好禮，與技術(shù)大咖連麥。

評(píng)論區(qū)留言入選，可獲得價(jià)值299元的「2020AI開發(fā)者萬人大會(huì)」在線直播門票一張。快來動(dòng)動(dòng)手指，寫下你想說的話吧！