隨著互聯(lián)網(wǎng)的高速發(fā)展，黑客攻擊手段的不斷演進(jìn)，行業(yè)內(nèi)的惡意競爭愈演愈烈，而攻擊平臺化、自動化又不斷地降低著攻擊成本，促使DDoS攻擊的強(qiáng)度、頻率和復(fù)雜度持續(xù)提升，企業(yè)網(wǎng)絡(luò)DDoS防護(hù)面臨著越多來越多的挑戰(zhàn)：

　　大流量DDoS攻擊峰值帶寬不斷攀升，T級攻擊越來越頻繁，依賴CPU抵御大流量攻擊遭遇瓶頸；

　　CC攻擊（Challenge Collapsar）是一種常見的DDoS攻擊方式，通過僵尸網(wǎng)絡(luò)或代理對被攻擊服務(wù)器應(yīng)用發(fā)起大量貌似合法的請求，耗盡服務(wù)器的處理性能?；ヂ?lián)網(wǎng)業(yè)務(wù)由單一的WEB網(wǎng)站發(fā)展成WEB網(wǎng)站、APP、API調(diào)用共存的多業(yè)務(wù)模式，傳統(tǒng)的CC防御是基于WEB網(wǎng)站業(yè)務(wù)特點(diǎn)進(jìn)行源挑戰(zhàn)認(rèn)證，防御效果不佳；同時，越來越多的業(yè)務(wù)采用TLS加密模式，進(jìn)一步提升了CC防御難度；另一方面，CC攻擊通過高、低頻率攻擊混合的方式挑戰(zhàn)防御系統(tǒng)靈敏度，傳統(tǒng)依靠速率判定攻擊源的防御技術(shù)難以奏效；

　　DDoS攻擊越來越多的采用速戰(zhàn)速決的手法，根據(jù)《2021年H1全球DDoS攻擊現(xiàn)狀與趨勢分析》顯示， 53.56%的攻擊持續(xù)時間在10分鐘以內(nèi)，依靠專家經(jīng)驗(yàn)進(jìn)行防御策略手工調(diào)優(yōu)的傳統(tǒng)手段無法及時應(yīng)對攻擊。

　　華為根據(jù)大量IDC、云DC以及高防攻防對抗經(jīng)驗(yàn)，創(chuàng)新地在HiSecEngine AntiDDoS系列產(chǎn)品上采用了NP加速+智能防御雙引擎，可以有效應(yīng)對這些新挑戰(zhàn)。一方面，NP（Network Processor）加速引擎與CPU智能協(xié)同，實(shí)現(xiàn)對大流量DDoS攻擊的快速抵御，另一方面使用智能防御引擎提供多維度行為分析能力，結(jié)合滑動窗口檢測算法，可以根據(jù)僵尸主機(jī)（機(jī)器人）訪問服務(wù)器資源的規(guī)律性、周期性特征，快速識別、阻斷高頻的CC攻擊。

　　同時，為了提升防御效率，華為HiSecEngine AntiDDoS系列產(chǎn)品結(jié)合實(shí)時流量統(tǒng)計(jì)數(shù)據(jù)，智能判定防御效果并實(shí)現(xiàn)自動策略調(diào)優(yōu)，將攻擊響應(yīng)由10分鐘降低到秒級響應(yīng)。針對大流量攻擊、CC攻擊的防御方法以及自動化防御的技術(shù)細(xì)節(jié)如下：

　　NP+CPU分層防御處置大流量DDoS攻擊

　　隨著新的UDP反射源、TCP反射源不斷被挖掘，大流量DDoS攻擊峰值帶寬不斷攀升，防御成本越來越高。T級攻擊在IDC行業(yè)逐漸常態(tài)化。

　　同時，大流量DDoS攻擊秒級加速，如下圖所示，平均每秒加速可以超過70Gbits，攻擊者通過“Fast Flooding”、脈沖攻擊手法達(dá)到理想的效果，不斷挑戰(zhàn)防御系統(tǒng)的響應(yīng)速度。

　　華為HiSecEngine AntiDDoS系列產(chǎn)品通過NP和CPU智能協(xié)同、分層防御的架構(gòu)，提供逐包檢測和毫秒級攻擊響應(yīng)，有效降低了防御成本。CPU進(jìn)行逐包檢測，當(dāng)檢測到網(wǎng)絡(luò)層大流量攻擊時，啟動防御并將抵御大流量攻擊的“重任”卸載到NP防御流程，經(jīng)現(xiàn)網(wǎng)實(shí)測，單IP的“Fast Flooding”攻擊可在20毫秒內(nèi)快速阻斷，針對200個C的掃段攻擊則可在30毫秒內(nèi)有效阻斷。

　　智能化技術(shù)防御CC攻擊

　　HTTP CC攻擊是應(yīng)用層最常見的攻擊手法，傳統(tǒng)基于HTTP 302重定向、JS等的源挑戰(zhàn)認(rèn)證僅適合HTTP網(wǎng)站防護(hù)。隨著互聯(lián)網(wǎng)業(yè)務(wù)變得復(fù)雜多樣化，HTTP流量不僅包含WEB網(wǎng)站，還攜帶了大量的APP、API調(diào)用，傳統(tǒng)DDoS防御手段無法有效識別。同時，越來越多的HTTP流量采用TLS加密，提升了CC攻擊防御復(fù)雜度，如下圖所示，HTTPS CC攻擊占比高達(dá)18%（HTTPS Flood 6.68%，TLS異常會話11.4%）。

　　為提升防御成本，CC攻擊多采用高頻CC和低頻CC混合的攻擊模式，如下圖所示。

　　基于業(yè)務(wù)訪問的行為往往是突發(fā)性、無序的，而CC攻擊屬于機(jī)器人訪問，攻擊目標(biāo)URI具有相似性，且訪問行為具有明顯的周期性。華為HiSecEngine AntiDDoS產(chǎn)品的智能化防護(hù)引擎提供多維度的源訪問行為分析，精準(zhǔn)鎖定攻擊資源，并結(jié)合滑動窗口動態(tài)模擬機(jī)器人攻擊的周期性特點(diǎn)，從而快速識別、阻斷高頻CC。

　　多維度行為分析防御技術(shù)徹底摒棄源挑戰(zhàn)認(rèn)證的“侵入式”防御思路，能夠兼容各類HTTP業(yè)務(wù)。尤其是在IDC防護(hù)場景下，運(yùn)維人員很難以租戶來判定被攻擊IP的業(yè)務(wù)類型，所以基于多維度行為分析的防御方法更加簡單實(shí)用，對比針對攻擊人工調(diào)整防御策略，使用智能化防御引擎使得攻擊響應(yīng)速度從分鐘級降至秒級，并且減少了防御效果對運(yùn)維人員專業(yè)性的依賴度。

　　隨著5G及IPv6的發(fā)展，僵尸數(shù)量也快速增長，采用大量攻擊源降低單源CC頻率的攻擊方法已成為CC攻擊的新趨勢。面對海量僵尸源的單源低頻CC攻擊，華為HiSecEngine AntiDDoS系列產(chǎn)品針對攻擊源IP進(jìn)行多維度流量統(tǒng)計(jì)分析并上送到管理系統(tǒng)進(jìn)行智能離線學(xué)習(xí)，精準(zhǔn)識別出攻擊源并針對攻擊流量進(jìn)行實(shí)時清洗。現(xiàn)網(wǎng)實(shí)際防御效果顯示，通過使用智能離線學(xué)習(xí)，19秒即可實(shí)現(xiàn)阻斷。

　　“自動駕駛”降低運(yùn)維難度

　　DDoS攻擊防御效果依賴防御策略的制定，防御策略配置不當(dāng)，不僅導(dǎo)致攻擊漏防，更有誤防影響業(yè)務(wù)的風(fēng)險(xiǎn)。好的抗D產(chǎn)品不僅要求防御技術(shù)具有先進(jìn)性，能應(yīng)對快速演進(jìn)的DDoS攻擊，而且要求防御系統(tǒng)具有良好的易用性。

　　為了增加防御難度，DDoS攻擊越來越傾向于使用混合攻擊，運(yùn)維人員通過手工調(diào)小防御閾值來抵御某種攻擊的同時也可能導(dǎo)致了業(yè)務(wù)的誤防。手工調(diào)優(yōu)在漏防和誤防之間尋求平衡需要花費(fèi)了大量的時間成本，尤其是當(dāng)發(fā)生海量僵尸單源低頻CC攻擊，依靠人工經(jīng)驗(yàn)進(jìn)行策略調(diào)優(yōu)的過程變得更加困難，攻擊應(yīng)急響應(yīng)時間往往超過10分鐘。

　　為了改變DDoS攻擊防御依賴運(yùn)維人員的專業(yè)性，華為HiSecEngine AntiDDoS系列產(chǎn)品使用大數(shù)據(jù)+智能技術(shù)，通過歷史流量日志離線分析+實(shí)時流量日志檢測，基于本地業(yè)務(wù)流量進(jìn)行多維度的基線學(xué)習(xí)，制作業(yè)務(wù)畫像并生成業(yè)務(wù)白名單。攻擊發(fā)生時，管理系統(tǒng)一方面根據(jù)基線自動優(yōu)化防御策略有效抵御攻擊，一方面針對攻擊IP進(jìn)行防御策略“備份”，將策略調(diào)優(yōu)影響控制到最小范圍，保證業(yè)務(wù)的正常訪問。同時，防御過程中會針對攻擊數(shù)據(jù)進(jìn)行收集，作為后期的攻擊溯源分析和復(fù)盤使用。

　　DDoS攻擊的不斷升級推動著防御技術(shù)的快速發(fā)展，華為不斷探索、創(chuàng)新，全新推出HiSecEngine AntiDDoS系列產(chǎn)品，依托NP加速+智能防御雙引擎，有效應(yīng)對DDoS攻擊帶來的新挑戰(zhàn)。