云清联盟全网协同防护方案技术白皮书.PDF

云清联盟全网协同防护方案技术白皮书 云清联盟 2017 年 5 月 目录 一、 DDoS 攻击发展趋势 2 1.1. DDoS 攻击规模增长快速 2 1.2. DDoS 攻击产业化、商业化 2 1.3. 云数据中心依然是DDoS 攻击主要发起源 2 二、 DDoS 防御技术现状 3 2.1. 针对Inbound 攻击的“本地+云”方式缺乏统一标准3 2.2. 针对Outbound 攻击的目前仍然缺乏协同和监管3 三、 云清联盟全网协同防护方案 3 3.1. 方案架构3 3.2. 方案的优势和特点5 四、 成功案例介绍 5 4.1. 云清联盟威胁情报提升安全设备检测能力5 4.2. 安全运营平台借助云清联盟防护DDoS 大流量攻击 6 4.3. 通过云清联盟IDC 拦截Outbound DDoS 攻击7 一、 DDoS 攻击发展趋势 DDoS攻击因成本低廉、攻击范围广、简单高效已成为黑客最热衷和惯用的网 络攻击手法。随着CT向IT化发展，IT向云化发展，互联网业务越来越集中化，导 致DDoS已经成为互联网安全首要威胁。 云数据中心是DDoS攻击的重灾区，面临双向DDoS攻击危害压力。Inbound DDoS 攻击直接危及Downlink带宽、DC基础设施及在线业务可用性；Outbound DDoS则 危及DC接入层Uplink带宽及DC声誉。 1.1.DDoS 攻击规模增长快速 DDoS攻击规模持续增长，流量峰值再次超过2015年600Gbps历史记录达到 1.5Tbps，云清联盟成员青松在2016年处理最大DDoS攻击峰值达到550Gbps。 而 2017年年初，攻击流量峰值再次刷新到1Tbps。 2016年利用物联网设备发展僵尸攻击源头呈现快速增长，绝大多数物联网设 备是在未知情况下被黑客通过漏洞利用发起超大规模DDoS攻击，隐蔽性强，难以 检测，进一步助长了DDoS攻击规模的扩大。 1.2.DDoS 攻击产业化、商业化 随着新的黑客技术，僵尸攻击工具的不断出现，越来越多漏洞设备的感染和 恶意软件的传播，DDoS攻击资源获取更加容易，DDoS攻击产业链日趋成熟。2015 年比上年攻击成本降低50%，$19.9即可发动1G ／h的DDoS攻击，中国大陆相关业 务QQ群则仅需100元，2016年攻击启动规模从1G升为2G，攻击成本越来越低，攻 击日益频繁。 1.3.云数据中心依然是DDoS 攻击主要发起源 缺乏有效监管的云数据中心服务器、互联网免费代理和各类开放的UDP服务 器甚至廉价的云DC虚拟机已经成为僵尸网络及DDoS攻击不断发展壮大的温床。 二、 DDoS 防御技术现状 2.1.针对Inbound 攻击的 “本地+云”方式缺乏统一标准 由于超百G的DDoS攻击频发，攻击流量峰值带宽一再被刷新，所以单靠部署 在本地网络边界的DDoS防护系统很难应对频发的大流量Inbound DDoS攻击。目前 主流防御方式是利用本地的防护系统加上云端的（运营商或MSSP）清洗服务或黑 洞服务，结合起来形成分层防御方案，本地防护提供业务级精细化防护，云端清 洗或黑洞服务过滤大流量攻击保护网络带宽。 然而目前这样的方式还缺乏统一标准和接口，只在小范围内形成联合方案， 无法形成产业级的合力应对百G或者T级的大流量DDoS攻击。 2.2.针对Outbound 攻击的目前仍然缺乏协同和监管 由于数据中心托管服务器因租户缺乏安全意识，导致服务器被黑客控制，沦 为发起DDoS攻击的僵尸资源。目前绝大多数的DDoS防御方案只关注Inbound DDoS 攻击，而对Outbound DDoS攻击或者疏于监管。这无形中导致数据中心沦为黑客 的工具，给IDC造成声誉损失。 由于这个问题隐蔽性强，靠网络商自身或者个别厂商的合作根本无法解决， 只有从产业层面进行协同合作才能应对。 三、 云清联盟全网协同防护方案 3.1.方案架构 云清联盟全网协同防护方案 （Collaboration Mitigation Solution，简称 CMS）是由云清联盟全体会员共同构建的产业级DDoS云防御体系。其架构如下 方案的 “协同性”体现在：  威胁情报的协同：云清联盟依托创始会员中国电信独一无二的优势，即