Silahlanma yarışı: DDoS saldırı koruma sistemi yapımı
Yazar: Tencent security platform section lake2
Önsöz
DDoS saldırılarının geçmişi (Dağıtılmış Hizmet Reddi, dağıtılmış hizmet reddi saldırıları) 1996 yılına kadar izlenebilir (klasik Ölüm Pingini hatırlayın), İnternet teknolojisi yirmi yılı aşkın bir süredir hızla gelişmiştir ve DDoS saldırıları sürekli olarak gelişmektedir. Şu anda hala en aktif hackleme yöntemlerinden biri: İnternette her gün sayısız DDoS saldırısı gerçekleşiyor - bu tür saldırılar basit, kaba ve doğrudan etkilidir ve saldırganlar tarafından tercih edilir.
Zamanın gelişmesiyle birlikte, bilgisayar korsanlığı teknolojisi, teknolojinin ilk gösterilmesinden kötü niyetli misilleme, gasp ve hatta iş rekabetine kadar siyah bir endüstri zinciri oluşturdu - DDoS saldırıları istisna değildir.İnternet şirketleri, özellikle de tanınmış veya sektöre özgü internet şirketleri en kolay olanıdır. DDoS saldırıları tarafından tehdit edildi. Doğal olarak, Tencent de çok acı çekti, DDoS saldırı koruma sisteminin yapımı sırasında bazı deneyimler ve öğrenilen dersler biriktirdi ve akran referansı için bir belgeye derlendi.
Acil durum müdahalesi: ticari koruyucu ekipman satın alma
Çevrimiçi oyun, DDoS saldırılarına karşı en savunmasız iş modellerinden biridir. 2008 civarında, Tencentin ana akım oyunlarından bazıları (QQ Tang, QQ Xuanwu, QQ Sound Speed, vb.) Sık sık DDoS saldırılarıyla karşılaşmaya başladı ve diğer işletmeler bazen açıklanamaz bir şekilde saldırıya uğradı (en etkileyici olanı belirli bir web sitesiydi Saldırıya uğradıktan sonra, ekip günün büyük bir bölümünde meşgul oldu ve sonunda buna direndi.Araştırma sırasında, özel bir sunucu web sitesinin DDoS olduğu ve alan adını çözmek için kavanozu kırdığı keşfedildi. Bu bir felaketti).
Giderek artan DDoS saldırı sorununu çözmek için, güvenlik ekibinin bir DDoS saldırı koruma planına ihtiyacı vardı, bu nedenle Aegis projesi (projenin dahili kodu, yani ABD'nin Aegis sisteminin Tencent'i ABD Aegis sistemi kadar güçlü savunabileceği anlamına geliyor) doğdu.
Aegis projesinin teknik çözümü, ağ girişinden gelen trafiği analiz sistemine yansıtmak, trafiği analiz etmek ve bir anormallik tespit edilirse saldırıya uğrayan IP trafiğinin BGP üzerinden temizleme için koruma sistemine çekilmesi ve tamamlandıktan sonra geri enjekte edilmesidir. Tüm planın, ağ girişinde bilgisayar odasının gelen trafiğini algılaması ve anormal veri tespit etmesi durumunda anormal veri paketini atması gerekir. Saldırı trafiğinin tespiti nispeten basittir. Trafikteki ani artış (bu stratejinin bir çukuru vardır ve iş faaliyetleri gibi trafikteki ani artış dikkate alınmalıdır, aksi takdirde kazara ölür) veya syn oranının çok büyük olması veya formatın yanlış olması gibi belirli bir paket türü. Veri paketlerini analiz etmek için yalnızca trafiği yansıtmanız gerekir.Bu nispeten kolaydır ve kendi kodunuzu yazabilirsiniz, ancak koruma sistemi nispeten karmaşıktır ve kullanıma hazır ticari ekipman satın alarak gerçekleştirilebilir.
Genel yapı şeması aşağıdaki gibidir:
Koruma sistemi NSFOCUS'un kara deliğini ve H3C'nin AFC'sini satın alıyor ve koruma etkisi fena değil. Saldırının en şiddetli olduğu zamanlarda, ekibin acil alımlar yapmak ve onları raflara koymak için birden fazla departmanla koordineli çalıştığını ve gerçekten meşguldü.
O zamanlar, bilgisayar odasının bant genişliği büyük değildi (20G'den fazla değildi), ancak saldırı trafiği büyük değildi, genellikle birkaç yüz milyon ila birkaç G (temelde hiç 10G'den fazla görülmemişti) ve saldırı türü de tekdi, esas olarak SYN Flood ve UDP Flood .
Plan belirlendikten sonra, bir sonraki adım, esas olarak operasyon ve bakım ekibinin çalışmasını içeren uygulamadır. Ekip, sık sık saldırıya uğrayan bilgisayar odasından konuşlandırmaya başladı ve çok geçmeden oyun operasyonları olan birkaç bilgisayar odası kapandı. Aşağıdaki şekil, 2010'daki birçok ana akım oyunun DDoS saldırı koruma istatistiklerini göstermektedir.
Aşağıdaki şekil, 2009 yılında DDoS tarafından saldırıya uğrayan bir oyun işletmesinin trafik diyagramıdır. İnterneti kasıp kavuran büyük trafik saldırısının sadece 800 milyon olduğu ve Aegis'in yanıt süresinin çok yavaş olduğu (tamamen manuel işlem, çok verimsiz), çeşitli Seans birkaç saat sürdü.
Daha sonra, operasyonların sürekli yinelemeli optimizasyonu yoluyla, Aegis sisteminin destekleyici operasyon araçları da iyileştirilme eğilimindeydi ve otomasyon gereksinimleri planlanıp gerçekleştirilerek manuel acil durumun orijinal durumuna son verildi.
Bu arada, ekibin analizinden sonra, bilgisayar korsanlarının belirli bir oyunda DDoS için nihai hedefinin aslında "evi patlatmak" ve reklam alanını satmak için ilk sırayı ele geçirmek olduğunu gördük. Daha sonra, iş modeli modifikasyonu ile, reklamların asılması etkisi büyük ölçüde azaltıldı ve saldırılar doğal olarak azaltıldı.Bu, ürün tasarım seviyesinden güvenlik risklerinin azaltılması durumu olarak değerlendirilebilir.
Gelişmeye devam edin: kendi geliştirdiği koruyucu ekipman
DDoS saldırılarının tehdit durumu giderek daha ciddi hale geliyor.
Belirli bir yıldaki DDoS saldırı koruma verilerinin analizi sonucunda, işletmenin 4G üzerinden 200'den fazla saldırıya uğradığı ve o sırada çoğu bilgisayar odasının koruma kapasitesinin 4G (tek bir ticari cihaza yerleştirilen anahtar bir bilgisayar odası) olduğu görülebilir. Diğer bir deyişle, bilgisayar odasının tümünün bant genişliğini dolduran ve bilgisayar odasındaki tüm hizmetleri etkileyen 200'den fazla saldırı, bilgisayar odasının koruma kapasitesini aştı.
Bu problemin üstesinden gelmek için, her bilgisayar odasının kaynaklarını desteklemek gerekir Basit yöntem, ekipmanı yığmaktır: koruma kapasitesini 20G'ye çıkarmak için 5 ticari ekipmanı istifleyin - bu, çok sayıda ekipmanın eklenmesi gerektiği anlamına gelir. Bir koruyucu ekipmanın pahalı olduğu söylenebilir ve buradaki maliyet baskısı çok yüksektir; ticari ekipman yavaş yanıt verir veya hatta bazı işletmeye özgü senaryoların özelleştirilmiş ihtiyaçlarını karşılayamaz; ve ekipman artırıldıktan sonra, operasyon verilerini ve birleşik programlamayı saymak gerekir, ancak o zaman Ticari ekipman yalnızca tek tek oturum açmak için komut dosyaları yazabilir, bu çok karmaşık ve verimsizdir.
Maliyet baskısı, özelleştirme gereksinimleri ve operasyonel gereksinimler sonunda Aegis'in kendi kendine araştırmayı seçmesini sağladı.
Kendi geliştirdiği DDoS saldırı koruma sistemi devasa bir projedir.Ağın merkezinde yer aldığından, ağ mimarisi, donanım mimarisi, yazılım mimarisi, güvenlik saldırısı ve savunma stratejileri, TCP / IP protokolü vb. İçeren daha yüksek performans gereksinimlerine sahip olacaktır. Teknik alanlar ve zorluklar, ağlara, donanıma, Ar-Ge'ye ve güvenliğe çok aşina bir ekip gerektirir.Neyse ki, şirket güvenlik alanında hiçbir çabadan kaçınmak istemiyor ve çeşitli alanlarda ustaları var: coolc (sponsor, şimdi bölüm başkanı), sandalye ("Aegis'in Babası", birinci nesil sorumlu kişi, sistem ağında uzman), Seraph (sorumlu ikinci nesil kişi, güvenlik uzmanı, mevcut UCloud güvenlik merkezi sorumlu kişi), elma (Ar-Ge uzmanı), plan9 ( Eski kuşaktan insanlar onun "Advanced Shellcode Design Skills" adlı makalesini okumalıydı, Lao Niu (ana araştırma ve geliştirme, şimdi veri koruma projesinin başı), top kafa adam Niu Chang (ana araştırma ve geliştirme, şimdi yeni nesil Zhou olarak başarılı oldu. Sorumlu kişi), xenos (sistem ve ağ uzmanları), BigHy (ana operasyon, artık DJI'nin güvenliğinden sorumlu), julang3, honker, guage (Alinin papaya guage değil), yaratıcı (sorumlu üçüncü nesil kişi), XX, panday, ikinci komutan ... O zamanlar Aegis'in meslektaşları projede büyüdüler ve bugün daha geniş bir savaş alanında İnternet güvenliğine sessizce katkıda bulunmaya devam ediyorlar.
Yarım yıl sonra, Aegis koruyucu ekipman şekillenmeye başladı.Tek bir cihazın maksimum koruma kapasitesi 10G'dir ve bu, SYN Flood, ACK Flood, UDP Flood ve ICMP Flood gibi yaygın saldırı yöntemlerine karşı başarılı bir şekilde koruma sağlayabilir.Maliyet, ticari ekipmanın yalnızca onda biridir. Ve gerçek savaş kullanımında zafere ulaştı.
Böylece 2011'in başlarında gri tonlamalı dağıtım başladı.Yeni bilgisayar odasındaki DDoS koruma ekipmanının yarısını ticari ekipman ve Aegis oluşturdu ve stok bilgisayar odasının tüm genişletilmesi için Aegis kullanıldı. 2014 yılına gelindiğinde, Aegis temelde tüm bilgisayar odalarını kapsadı ve tüm yeni bilgisayar odaları kendi geliştirdiği ekipman olacak. Burada tasarruf edilen toplam maliyetin yüz milyonlarca olacağı tahmin ediliyor.
Gerçek savaş deneyimindeki artışla, Aegis sistemi ve ekibi temelde şirket düzeyinde DDoS saldırıları tehdidini kontrol edebilir. Çalışmanın bu bölümü, o sırada takımın ana öğrencileri tarafından yazılan makaleler dizisine de başvurabilir: "Aegis Sistemine Giden Yol-Sisteme Giriş", "DDoS Büyük Göz Algılama Sistemine Aegis Giriş", "Uzun Süreli Savaş Üzerine Tencent'in DDoS Koruma Sistemine girin.
Aynı zamanda, Aegis ekibi, sadece şirketin işine eşlik etmekle kalmayıp, aynı zamanda ortaklarına da yardım ederek, daima galip gelen bir bölüm haline gelmek için eğitim aldı. Didi, WeChat ödemesine ilk kez eriştiğinde, çok sayıda kullanıcı trafiğe daldı ve DDoS tarafından saldırıya uğradığından şüpheleniliyordu.Ekip, hemen bir gecede destekledi ve nedenini hızlı bir şekilde belirledi ve sorunu çözdü.
Ağ katmanındaki ekipmanla, trafiğin analiz edilmesi ve atılmasına eşdeğerdir.DDoS korumasına ek olarak, diğer bazı yetenekler de genişletilebilir.Örneğin, Aegis ayrıca acil durumlarda SSL HeartBleed 0day güvenlik açığını geçici olarak korur (uygulama katmanını telafi etmek için) Yetersiz güvenlik duvarı yetenekleri), Web hizmetlerinin fırçalanmasını önleme, ağ saldırısının analizi ve ağ katmanı algılama Truva atları ... Bunlar iyi sonuçlar elde etti ve ayrıca trafik uygulamaları ve ağ koruma ekipmanı için bir geliştirme yönüdür. Ayrı ayrı tartışma şansı var .
Söylenti: C / L oyunu savunma savaşı
Oyun endüstrisi her zaman DDoS saldırıları için en zor etkilenen alan olmuştur. C / L oyunu çevrimiçi olduğu anda çok popüler, ancak ağaç rüzgarı çekiyor ve bunu DDoS saldırıları takip ediyor. Aegis ekibi birkaç yıldır buradaki saldırganlarla savaştı.Bu süre zarfında, sistem bir kez yeniden düzenlendi, koruma stratejisi en az düzinelerce raund güncellendi, bir düzine teknik patent oluşturuldu ve çeşitli ürün çözümleri kuluçkaya yatırıldı.Savunma savaşının ciddiyeti belli. .
Şimdi bir veya ikisini tanımlamaya çalışın.
SYN Kaynak tüketimi seli
Başlangıçta, saldırgan basitçe tipik bir SYN Flood saldırısı kullandı. Bu saldırı esas olarak yanlış TCP bağlantıları üretir ve hedef sunucunun CPU'sunu tüketir. Koruma yöntemi, TCP bağlantısını kurmak için sunucuyu güçlü koruyucu ekipmanla değiştirmektir ve yanlış bağlantı Sıkı tutmak, esasen hücum ve savunma arasındaki bir rekabettir.
SYN Flood koruma şeması nispeten olgunlaşmıştır. İster syn çerezi algoritmasını kullanıyor olsun, ister yeniden iletimleri veya diğer stratejileri atıyor olsun, güçlü koruma ekipmanını açarak kolayca çözülebilir. Ek olarak, sahte kaynak IP adreslerine sahip veri paketlerinin büyük operatörler tarafından yönetilmesiyle, sahte kaynak IP adreslerine sahip birçok paket yönlendiriciler tarafından atılır ve güçleri büyük ölçüde azalır.
Kaynak tüketen SYN Seli saldırısı önlendikten sonra, saldırgan buna bağlı olarak akış tabanlı bir SYN Seli türetir, bu da büyük trafiğe sahip ağı bloke etmek amacıyla doğrudan büyük senkron paketleri göndermek içindir.Koruma şeması da basittir. Geçersiz syn paketi yeterlidir. Daha sonra, hem kaynak tüketen SYN Flood hem de trafik tabanlı senkronizasyon paketleri dahil olmak üzere hibrit SYN Flood ortaya çıktı.
Zombi kuklalarının trafik saldırısı
Büyük akışlı UDP Flood, aynı zamanda yaygın bir saldırı yöntemidir ve büyük akış yoluyla bilgisayar odasının bant genişliğini bloke eder, ancak aynı zamanda savunması da nispeten kolaydır: bu ticari olmayan bağlantı noktalarını veya UDP paketlerini belirli bir formatta atın. Ayrıca operatörlerin yönetimiyle, kaynak IP'nin UDP paketlerini sahtecilik gücü de büyük ölçüde azalır, bu nedenle saldırganların gerçek IP saldırılarını gerçekleştirmek için büyük bir botnet'e güvenmesi gerekir.
Nesnelerin İnterneti çağının ortaya çıkmasıyla birlikte, giderek daha fazla IoT cihazı da İnternet'e bağlanıyor, ancak bu geleneksel çevrimdışı üreticinin İnternet güvenliği tehditleriyle başa çıkma konusunda hiçbir deneyimi olmadığı açık.Bu cihazlar çeşitli güvenlik sorunlarına sahip ve bilgisayar korsanları tarafından kontrol edildikten sonra DDoS broyler haline geliyor. IoT zombilerinin (ünlü Mirai ve türevleri gibi) kutsamasıyla, DDoS saldırılarının trafiği her dönüşte 500 + G ile yeni rekorlar kırmaya devam ediyor ve T'de görülmesi alışılmadık bir durum değil.
Zeus Shield ekibi, saldırı kaynağı IP'sini analiz etti ve son yıllarda IoT / akıllı cihazlardan gelen saldırı kaynaklarının sayısının (akıllı yönlendiriciler, kameralar, akıllı soketler, akıllı kapı kilitleri gibi) arttığını ve bunun da her şeyin İnternetini tek bir taraftan yansıttığını tespit etti. Zamanların gelişi. Bilgisayar korsanları tarafından kullanılan IP'nin bu bölümünü kara liste kitaplığı olarak kullanıyoruz ve doğrudan koruma sırasında atıyoruz ve hatta diğer güvenlik sistemlerini kullanıyoruz (bakın, bu bir tehdit istihbaratı uygulamasıdır).
Ek olarak, trafik büyük olduğunda bir sorun getirecektir.Transit bilgisayar odasının fiziksel bant genişliğini aşmıştır.Başka bir deyişle, bilgisayar odası patlamıştır (bu toplam bir fazlalıktır, bant genişliğinin% 70 ila% 80'ine ulaşıldığında seğirme sayılmaz. Köpeğin kanının). Bu tür saldırılara verilen yanıt, kaynakları tüketir: ya geniş bant genişliğine sahip bir bilgisayar odasının inşasına yatırım yapmaya devam edin (bant genişliği çok pahalıdır) ve ardından koruma kaynakları tamamen tahsis edilir ya da operatörün üst düzeyde temizlik yapmasına izin verin (telekomünikasyon bulut bankası gibi. Ayrıca DDoS yüksek savunma hizmetleri oluşturmak için bazı operatörlerle işbirliği yaptık).
"Dünya hızla büyüyor, hepsi kâr için; dünya acele ediyor, hepsi kar için", verilerimiz ayrıca ilginç bir olguyu da izliyor: DDoS saldırı maliyetlerinin bir aşamasının uygulanmasıyla birlikte, suç riskleri artar ve karlar azalır , Birçok piliç artık DDoS uygulamıyor, ancak madencilik için kullanılıyor.
Xiaoboda ile yansıtıcı DDoS saldırısı
DNS yansıma türü DDoS saldırısı gerçek savaşta uygulandığından, bu tür bir saldırı gelişmektedir.Çeşitli protokoller (DNS, SNMP, LDAP, SSDP, NTP, Memcached, IPMI) mayınlanmış ve fiilen saldırıya uğramıştır ve büyütme faktörü de artmıştır. Giderek daha da büyürken, entegre trafik 12 yılda 65G'den 650G'ye kadar giderek büyüyor.
Yansıtma saldırılarına karşı savunmak daha kolaydır, çünkü saldırıya uğrayan hizmetlerin çoğu bu protokollere ihtiyaç duymaz (iyi, DNS Sunucusu özel bir durumdur), sadece bunları protokol özelliklerine veya kaynak / hedef bağlantı noktalarına göre filtreleyin - aynı sorun, eğer Bant genişliğini aşan saldırı trafiği daha zahmetli olacaktır.
Belirli bir dönemde gördüğümüz DDoS saldırılarını yansıtma oranı:
Belirli bir dönemde SNMP yansıması DDoS saldırı kaynaklarının küresel dağılımını gördük:
Nihai savaş protokolü simülasyon saldırısı
Derin iş mantığının yüzleşmesi burada ve gerçek teknolojiyi göstermenin zamanı geldi.
Saldırganlar taktiklerini değiştirmeye devam ettiler ve servis portuna saldırmak için küçük trafikli UDP Flood kullandılar.Trafik belirli bir aralıkta olduğunda servis portu bloke edilebilir.Porta karşılık gelen oyun odası çökecek, ancak bir bütün olarak oyunu etkilemeyecek. Gelen trafikteki ani artış ve düşen çağrı sayısındaki ani artış farklıdır.Bu tür bir saldırı, veri dalgalanmalarını büyük ölçüde önler ve rafine işlemlerle keşfedilmesi gerekir.
Ekip, yukarıdaki durumu keşfettikten sonra stratejiyi yükseltti Servis portu için sadece oyun protokol formatına uygun UDP paketlerinin geçmesine izin verildi ve saldırı hafifletildi.
Saldırganlar taktiklerini değiştirmeye devam ediyorlar.Bu sefer doğrudan normal oyun protokolü formatını simüle ediyorlar ve ardından servis bağlantı noktasına paketler gönderiyorlar - bu dört katmanlı bir CC saldırısı.
Bu sefer nasıl kolaylaştırılır? Çözümlerden biri, IP'nin durumunu kontrol etmektir (yani, IP'nin daha önce oturum açmış olması gerekir, bu nedenle oyun sunucusuyla bir IP durum tablosu bulundurmak gerekir ve tabloda bulunmayan IP'den gelen veri paketleri, biçime bakılmaksızın doğrudan atılır); diğer çözüm ise " Güvenlik filigranı "(yani oyun istemcisi jetonu dinamik olarak oluşturur ve koruma cihazı veri paketindeki simgenin yasal olup olmadığını kontrol eder).
Prensip olarak bu şema, B / S mimarisine karşı CC saldırıları için tarayıcının gerçek zamanlı olarak bir "filigran" oluşturmasına izin vermek için JavaScript yayınlanabilir, C / S mimarisi ise yalnızca CC saldırılarına karşı koruma sağlamak için JavaScript yayınlama şemasına benzer. Mantık, istemciye yerleştirilmiştir.
Çözümden bağımsız olarak, koruyucu ekipmanın talebe hızlı bir şekilde yanıt vermesi ve sürümü hızlı bir şekilde yinelemesi gerekir.Kendi kendine araştırmanın avantajları yansıtılır. Aynı zamanda, Tencent Cloud'da müşterilere hizmet sağlamak için ürün olarak istikrarlı iş operasyonlarının "güvenli filigranını" da çıkarıyoruz.
Yükseltme yeniden yükleniyor: bulutta şiddetli savaş
Güvenlik ekibinin değeri, iş risklerini azaltmaktır, daha fazla değer, işletmenin temel rekabet gücünü arttırmaktır ve nihai değer, karlı bir birim haline gelmektir. Dahili iş hizmetleri tamamlandıktan sonra, bir sonraki adım kapasite çıktısıdır.
İnternetin gelişmesiyle birlikte, geleneksel işletmeler de çevrimiçi işleri yürütmek için İnternet'i benimsemelidir (İnternet + geleneksel endüstri = endüstriyel İnternet) Bulut bilişimin kullanılması uygun ve düşük maliyetli bir çözümdür ve ayrıca güvenlik hizmetlerine giriş sağlar.
Buluttaki DDoS durumu, kendi geliştirdiği araştırmalardan oldukça farklı.Çok uzun kuyruklu müşteri, karmaşık teknik mimari ve sık görülen özel durumlar var - eski devrim yeni sorunlarla karşılaştı, bu nedenle Aegis teknik mimari, sistem operasyonu, veri analizi, ürün tasarımı vb. İle başladı. Görünüm, bulut çağının ihtiyaçlarını karşılamak için tamamen yeniden yapılandırıldı. Tam bir yıl sonra, Aegis sistemi nihayet yeniden yüklendi ve yükseltildi.Sadece mimari, operasyon, veri ve ürün seviyeleri iyileştirilmedi, aynı zamanda saldırıyı akıllıca yargılamak için makine öğrenimi temel modeli tanıtılmaya çalışıldı.Yeni mimari temel olarak buradaki sorunu kontrol etti. Aynı zamanda, alt katman olarak Aegis tarafından desteklenen güvenlik-Tencent Cloud Dayu ve Aegis DDoS koruma hizmetlerinin küçük bir test olduğunu ve gelirinin önemli olduğunu da fark etti.
Bulut müşterileri, şirketin iş arkadaşlarından farklıdır. Buluttaki müşteri sayısı büyüktür ve tolerans düşüktür. Bu nedenle, müşterilere kaba bir dahili sistem veremezsiniz, ancak ürün deneyimine odaklanabilirsiniz. Unutulmaması gereken bir diğer nokta da, buluttaki işin karmaşık olmasıdır ve çoğu durumda geçmiş deneyimler uygulanabilir değildir. Bazı müşterilerin yetersiz sistem sağlamlığına sahip olduğunu ve az miktarda trafik çöktüğü saldırı sisteminin koruma eşiğini tetikleyecek zaman olmadığını gördük. Bu duruma yanıt olarak, bazı genel yapılandırmaları istemci tarafına dağıtacağız ve istemci bunu gerçek koşullara göre yapılandıracak. Ek olarak, uzman modunda kullanıcılara bazı karmaşık yapılandırmalar da sağlanabilir.
Bulut hizmetlerinin karmaşıklığı, bulut üzerindeki DDoS saldırısını ve savunmasını kendi kendine çalışan işletmelere göre daha şiddetli hale getiriyor.Özellikle son yıllarda bulut işinin gelişmesiyle birlikte DDoS saldırılarının sayısı, saldırı yöntemleri, maksimum zirveler ve işletme sayısı kendi kendine çalışan işletmelerinkini aştı ( Örneğin, bir bulut müşterisinin karşılaştığı 1.2T saldırısı) Bu zorluklar iyidir.Bu saldırıların sürekli çalışması ve optimizasyonu, Aegis sisteminin yinelemeli optimizasyonunu teşvik etmiştir.
Çok temsilci olan DDoS tarafından saldırıya uğrayan endüstrilerin dağılımına bakalım.
Gelecek devam ediyor ve buluttaki Aegis hala yinelemeli olarak optimize ediliyor.
postscript
DDoS saldırılarının ve korumasının özü, saldırı ve savunma arasındaki kaynakların çatışmasıdır. Bir taraf büyük bir trafik çıktısına sahip olmak için büyük miktarda kaynak biriktirmeye devam etmeli ve diğer taraf büyük trafiğe dayanabilecek bir bant genişliği oluşturmaya devam etmelidir. Çatışmanın maliyeti ve yoğunluğu bir silahlanma yarışı olarak bile tanımlanabilir ( Sunucu işletim maliyetlerimiz her yıl on milyonlarca). İzinsiz girişler gibi, en yaygın saldırıların savunulması nispeten kolaydır ve en güçlüleri en iyi ustalardır (örneğin, DoS için çekirdek anahtarlama yönlendirme sistemi hatalarını kullanan düzinelerce bayt veri paketi ve koruma ekipmanının kendisi için DDoS ...).
Teknolojik çatışma bir yönüdür ve cezai grevler ve teknolojinin ötesinde caydırıcılık esastır.
Bu yazı itibariyle, Aegis'in 100G yüksek performanslı IPv6 sürümü halihazırda tam dağıtım aşamasındadır ve 400G için yeni cihazların ve uç bilgi işlem yeteneklerine sahip akıllı ağ kartlarının ön araştırması yolda. Zaman değişiyor ve teknoloji hızla gelişiyor, ancak güvenliğin bir süreç olduğunu ve bir sistem oluşturmanın her zaman ilk adım olduğunu ve operasyonlar yoluyla sürekli yineleme ve optimizasyonun güvenlik sisteminin özü olduğunu her zaman hatırlamalıyız.
ek
Lake2 için Kurumsal Güvenliğe Dokuz Adım (devam edecek):
Kendi geliştirdiği yol: On yıllık Tencent'in güvenlik açığı tarama sistemi
Kurumsal Güvenlik Acil Müdahale Merkezi İnşaatı Teorisi ve Uygulaması
Nehir Savunmasında Rahatsızlık Durakları Kurumsal Saldırı Savunma Sisteminin İnşasında
Bu makale Tencent Security tarafından sağlanmıştır ve Lei Feng.com tarafından düzenlenmiştir. Lei Feng'in ev konuk kanalı (WeChat genel hesabı: letshome) öncü teknolojiye odaklanıyor ve bilgisayar korsanlarının arkasındaki hikayeyi anlatıyor. Lei Feng'in ev konuk kanalını takip etmeye hoş geldiniz.
