DDOS攻防体系建设v0.2(淘宝-林晓曦)

DDOS攻防体系建设DDOS攻防体系建设体系建设预警防御演习反击DDOS预警平台目标预警速度要快敌情报告要准覆盖面要广误报要少41.实时分析集群负责将网络流量转化成日志2.数据记录集群存储原始的网络流量，便于事后分析和回放流量镜像5流量测试数据烽火台部分IDC机房覆盖反应时间30s告知攻击流量及类型联动清洗中心71.使用开源的实时计算系统storm2.全程不在磁盘上写任何中间数据3.集群每秒能处理数百万条日志实时计算8map镜像与分析是两个独立的系统，低耦合，且所有部件均可水平扩展。全程没有中间数据的产生，没有对磁盘的I/O操作，保证低延时。流式分析全过程SpoutBoltDBBoltBoltBoltBoltalarmreducestorm流量分析agent流量分析agentSpoutzookeeperbrokebroke9烽火台界面101.网络瞬间抖动2.流量切换3.服务器主动向外的大量访问4.……关于误报11Ourattackprofileroutputthefactthattheattackpacketswerebetween99,971and99,985byteslong.CloudFlare+route173.X.X.X/32-DNS-DROP{+match{+destination173.X.X.X/32;+port53;+packet-length[9997199985];+}+thendiscard;+}DDOS防御目标防御能力强防御质量高种类齐全高低搭配131.防御策略不精细，甲方成为PD2.不断地踩到坑，甲方成为QA3.产品迭代速度慢4.成本优势不再明显第三方设备14防御体系烽火台自建清洗中心LVS集群TengineCSRCSRTengine流量镜像LVS集群15自建清洗中心RouterRouter10G10G10G10G10G10G10G10G10G10G10G10G10G10G10G10G1.高性能，可线性扩展。2.防御策略灵活定制，防御策略的微创新。20G20G20G20G20G20G20G20G20G20G20G20G20G20G20G20G16我靠，QPS下降了5%这么多！天啊，RT竟然增加了200ms！防御质量17GET请求a.htmlmetahttp-equiv=refreshcontent=0;URL=a.html?mo9ej61.基于IP的规则不再那么有效2.传统的清洗策略也失效if(response.getStatusLine().getStatusCode()==200){......for(……）{builder.append(s);}}移动客户端httpstatus:200页面内容展现异常手机客户端服务器18htmlbody……script……ajax=newXMLHttpRequest()if(xmlHttp.status==200){…}/scriptGET请求a.htmlhttpstatus:200metahttp-equiv=refreshcontent=0;URL=a.html?mo9ej6GET请求a.html?mo9ej6httpstatus:200异步请求b.htmlhttpstatus:200无法解析返回的内容，页面信息无法正常展现异步请求贴近实战事前不通知每月至少一次发现问题DDOS演习201.攻击类型，攻击特征可以灵活配置2.攻击进程设置CPU亲和性，避开服务进程所在的CPU3.根据服务器负载，自动调节报文发送频率4.页面实时展现攻击的状态DDOS模拟攻击平台发现的问题1.演习发现负载均衡设备A10的控制CPU面对icmpflood的攻击时非常脆弱，拟定方案在群集团的核心设备上做icmp限速，避免同类故障两起。2.演习发现固定五元组的攻击会落在硬件设备的一颗CPU，对清洗设备厂商提出改进方案，同时在自建清洗中心时避免同类问题。分析攻击样本找出攻击间关联性锁定攻击源震慑对手反击23*某次攻击的TOP10IP一次攻击的统计数据241.统计的样本来自针对阿里内部应用的攻击。2.圈内数字代表改地域攻击源的个数。一次攻击的统计数据251.把握攻击者发起攻击的利益诉求，用非技术的手段在源头降低攻击发生的概率。有相当比例被攻击的店铺在淘宝有投诉或纠纷的记录。2.某些攻击之间是存在强相关性。商品详情店铺首页旺铺首页商品（店铺）VIPDNS3.大规模攻击前的”踩点”。数据告诉我ThankYou！