刘紫千博士,CISSP,加州大学访问学者,中国通信企业协会通信网络安全专业委员会委员。现为中国电信网络安全产品运营中心CEO兼首席架构师,“云堤”团队负责人。曾任中国电信ChinaNet网络负责人、DNS系统负责人和集团SOC主任。
以下为访谈内容:
51CTO:云堤作为运营商级DDoS安全防护产品,能承受多少GB的流量攻击?
刘紫千:通常,业内对"运营商级"的理解主要是在可靠性上,要有多少个9才能称之为运营商级。具体到云堤上,之所以称为运营商级产品,除了表明我们的服务连续性能力,更多的是因为云堤充分调用了中国电信的IP骨干网络,是一个运营商级网络能力的产品。云堤拥有目前全球最大的攻击流量吸纳带宽资源,而带宽资源恰恰又是DDoS攻击防护最需要的资源,同时也是防护服务中最大的防护成本项。具体到攻击防护容量,与云堤的两种防护方式有关的:可区分攻击来向的近源流量压制,以及近源流量清洗。 其中,流量压制是依靠RTBH,FlowSpec,QoS策略等,用全网路由器的能力一齐在骨干网边缘近源对抗攻击流量,这种方式能够承受的攻击流量理论上就是骨干网的带宽容量,商业化通俗一点,叫做攻击流量的处理无上限(电信骨干网带宽储备是目前已知的最大攻击峰值的近千倍);而云堤的近源清洗是利用分布式部署在骨干网的26个清洗中心,通过BGP anycast将攻击流量在进入电信网络后就近牵引到多个清洗中心进行处理,总清洗容量和清洗中心独享带宽都超过1000G,这个清洗容量在业内也是最大的。
51CTO:为什么许多银行机构,比如中国银行、招商银行、中国农业银行等都采用了云堤的服务?相比市面同类产品有哪些优势或者不同?
刘紫千:从2013年开始,金融行业,特别是国有银行和各大商业银行,确实比过去面临越来越多的DDoS攻击威胁,比如比特币勒索,金融竞争和冲突或者纯报复行为。与其他产品相比,云堤的优势主要体现在产品本身的性质和能力两方面。从产品的性质来讲,云堤来自国内最大的最基础电信运营商-中国电信,由于几乎所有企业都使用了电信的专线接入互联网,企业的流量天然承载在我们的网络上,所以在专线上叠加电信的安全服务是非常自然的一个选择,产品的企业性质和严格受政府监管的中立立场使得云堤较其他服务商的产品更容易让客户放心;当然,真正让客户选择并愿意继续使用云堤服务的,还是产品自身出色的能力,抗D服务要解决三个核心问题,通俗讲就是看得见、防得住、说得清,依次对应攻击检测、攻击防护和分析溯源,这三个问题构成了攻击防护的闭环,缺一不可,云堤在每一项上都有自己独到的优势:
(1)攻击检测利用覆盖电信全网核心路由器的NetFlow数据进行攻击监测,其优势是可以对经过中国电信大网的访问任意互联网目标地址的进行在线实时流量监控,在大流量攻击发生时,有别于传统攻击检测方式只能在近攻击目的端的网络或主机上计算攻击流量和访问量因而无法避免出现因为流量拥塞或丢包带来的记数严重偏小问题,云堤可以在全网所有链路上对去往目标IP所的实际攻击流量进行全面评估,因此对大型DDoS攻击的流量规模测度最为准确。大型金融企业网点覆盖较广,海内外都有接入点,云堤的监控能力是覆盖国内和国外的,和云堤进行一点对接,解决了其全国甚至海外节点的监控;此外,金融客户特别需要知道自己所面临的风险威胁的规模,据此作出可能损失的评估以及能力采购的依据,因此,完整的攻击测度也是非常必要的。
(2)攻击防护包含流量压制和流量清洗两种主要功能,其突出优势是"近源防护"的概念,云堤监控分析电信全网的路由器的NetFlow数据,能够准确的辨别一个攻击的主要区域来向,例如是从境外发起还是从国内其他运营商发起,可以定位发起点是哪一家运营商、哪一个城市甚至是IDC机房,从而调度IP承载网路由器和分布式部署的流量清洗设备将攻击流量在"最靠近攻击发起源"的网络节点上对攻击流量的进行清除,因此其攻击防护能力理论上无限大。云堤的近源流量压制利用了很多BGP 核心功能如Anycast/虚拟下一跳/FlowSpec进行控制信令的全网散步,利用IP网核心路由器将攻击流量进行可区分方向的丢弃、限速和其他QoS动作;近源清洗则是利用对攻击源进行实时分析后,启动最靠近攻击源的分布式部署在电信IP网核心节点的清洗中心,将攻击流量牵引至清洗中心进行恶意流量的处置,再将正常的业务流量通过隔离的回送通道送达目标网站;云堤的清洗节点带宽是固化独享的,不存在攻击引流时与其他业务流量共享清洗带宽的情况,极大降低了因为攻击流量引发带宽拥塞的业务受损可能性,同时云堤利用BGP实现了对攻击流量牵引导流的秒级全网生效,而对比传统的通过修改DNS NS权威解析导流的方式,往往十几分钟才能生效,而且受制于用户本地递归中的TTL最小值限制,无法保障网内攻击流量的完全引导;清洗设备采用运营商级大容量高性能清洗设备为主,有很强的小包处理和转发性能,对Web安全的支持也越来越丰富,同时接受用户对清洗防护策略模板的深度定制。
(3)分析溯源主要解决对攻击来源的准确定位。我们知道,攻击者利用僵尸主机发起攻击时时常会使用虚假源IP地址,以达到混淆身份,藏匿归属的目的。云堤通过将每一个监测到的攻击进行实时的NetFlow分析,找出攻击发起点接入网络设备的物理电路接口,通过该接口就能准确定位攻击源,不需要进行任何关于IP源地址的归属推测。由于云堤了解骨干运营商的所有网络资源位置,而不依赖于IP地址归属映射(互联网公司常用)和源端是否存在有效探针(安全公司的做法),这使云堤在攻击溯源定位能力的领先优势难以撼动。与一般企业不同,金融机构在遭受攻击后,大都会诉诸法律。只要有立案依据,云堤会配合司法机关提供关键的攻击trace和数据。数据的公信力以及准确程度往往成为能否举证关键,无论从数据质量和数据性质来说,云堤的优势也十分明显。
小结一下几个关键词:全网覆盖(含电信海外网络);对大攻击流量的全面客观测度;近源防护;可区分攻击来向的流量压制,防护能力上不封顶;;全网1T的清洗容量;基于BGP anycast技术的近源攻击流量牵引,秒级防护生效;覆盖全网的准确攻击溯源;用户0操作,0设备部署。
云堤其实除了DDoS攻击防护之外,还在陆续上线DNS安全功能,例如我们最近正在小范围客户开展DNS域名的全网快速修正以及反钓鱼欺诈网站的处置,都对金融客户在面临关进域名解析错误或者欺诈网站造成的用户利益受损这两大痛点上有非常实质帮助,为金融客户提供更全面的安全保障。
金融客户对服务的体验也很看重,所以除了上述特点外,云堤也格外重视服务的易用性和便捷性,注重安全服务的可视化。云堤除了提供传统运营商的最擅长的"电话申告+工单跟进"外,还提供非常丰富的自服务web portal, 以及API的高度自动对接调用。通过Web Portal,客户除了可以看到攻击告警、进行自主防护、分析攻击特点外,还能通过它来监控自己的电信专线电路流量,所以它几乎就是客户的一个轻量级的网管;另外,云堤是国内最早实现通过微信客户端提供DDoS和DNS防护服务界面的产品,客户的运维或者安全人员通过自己的微信就能实时掌握告警、下发处置动作和进行分析展现的,这种用户体验也是前所未有的便捷,很受客户欢迎。
51CTO:有没有一些相关案例介绍?
刘紫千:具体案例这块,因为涉及到服务客户的隐私及意愿问题,所以我们还是先保持神秘吧。
具体案例可以用艺龙,因为他们的CTO自己对外发布了微博,我们只是引用:
http://card.weibo.com/article/h5/s#cid=1001603847816140218611&vid=&extparam=&from=&wm=0
云堤全程参与了2015年93阅兵和乌镇世界互联网大会的最高规格的互联网保障,对近200家重要站点提供了攻击防护服务,在多次对抗实战中捍卫了国家荣誉。
目前,云堤拥有近千家大客户,涵盖了金融证券、政府、互联网公司、能源制造等全行业企业,有很好的用户口碑。
51CTO:近期谷歌推出Project Shield,可为小规模网站抵挡DDoS 攻击,对此您怎么看?
刘紫千: 我自己没有试用过这个服务,所以不能妄加评判。但从Google的官方信息分析,感觉这个服务类似一个基于CDN的防护方案,将受防护的网站转移到Google的CDN上,例如防护网站的域名通过CNAME指向谷歌的CDN域名,然后散列到全球的服务IP上。其实在国内外,已经有很多类似的产品服务了。但此类CDN方案有两个关键问题,一是客户是否接受自己网站的访问流量要经过或者终结在一个第三方CDN服务器上,对自己数据私密性格外看重的客户可能很难采用这种方案,比如银行客户;第二个问题如果攻击是追着源站IP打的,或者频繁cc攻击网站的动态内容必须回源,那么CDN的方案应对这类攻击的还是会遇到不少问题。
51CTO:对于中小企业经常遇到的域名劫持、钓鱼攻击等问题,您有什么建议?
刘紫千:域名劫持本身特指DNS解析记录被有意修改,后来可能被泛化,包含了一些Http劫持等等。但造成这个问题的原因其实很复杂,从业务流的角度梳理,可能出问题的点非常多,比如终端侧的软件行为、网络侧的协议行为、还可能是用户自己的权威域名服务器管理不慎造成。如果聚焦网络侧,这种劫持可能出现在边缘的接入服务提供商、二级SP、WIFI服务提供者等各种组织,因为这些组织都具备控制"劫持点"的网络位置条件。如我在前面问题中提到的,云堤在16年初已经上线内测新的专门针对DNS域名劫持 修复和反钓鱼等功能,帮助企业客户尽最大可能解决这些问题,我们能确保在中国电信官方授权的DNS服务节点上,以及中国电信能够直接控制的核心网络内,客户的域名解析是正常的,如果有问题,我们能第一时间监测到并通知客户,得到授权后我们会迅速修复被污染的域名解析记录。而且我们也愿意配合云堤客户去打击这些网络乱象和不正当竞争。
对钓鱼网站而言,传统的应对措施是是处置难度大,处理时间长,无法保证在一个大范围网快速屏蔽内各种终端各种浏览器对钓鱼网站的访问,云堤正在内测相关的反钓鱼产品,希望能给客户带来惊喜。
在没有更有效的产品和服务出来之前,企业可以通过向有关部门或者社会团体比如反钓鱼联盟进行申诉,请其协助处理。我们也看到越来越多的企业加入到类似的联盟组织,共同净化网络环境,这也是非常积极的一个举措。
51CTO:最后,您认为,运营商在互联网安全生态领域中扮演着什么样的角色?
刘紫千:坦率的说,我个人认为,大型基础运营商受制于传统体制的约束,以及自身的技术发展历程,暂还不具备所谓"打造"完整互联网安全生态的条件。但是,立足于网络本身,作为互联网"连接关系"的基础承载者,我们确实是最为关键的基石和纽带。从企业性质来说,我们肩负着巨大的社会责任,是国家和政府基础信息设施安全的捍卫者;从服务受众来说,我们服务于亿万网民和千百万家企业客户,也有责任让所有人充分享受互联网的便捷和安全。如果要画一张层次图,运营商应该在中间层,向上对接国家政府的监管要求,向下服务于网民和各类企业,在同一层还有各类设备制造商和合作伙伴的能力供给。中国电信正在积极的进行转型,正在用我们的优质资源,在我们长期积累的技术领域,打造并运营具有独特能力的互联网安全产品,并以此为契机,保持一个互联网安全领域后入者的心态不断学习成长,成为客户不可或缺的出色的安全服务提供者。
