云端DDoS攻击防护 百度商业产品部 吴昊挺 wuhaoting@baidu.com 关于我 吴昊挺 百度⾼高级安全⼯工程师 ⼯工作内容： 安全相关的后台架构研究 分布式拒绝服务攻击 基于访问数据进⾏行攻击⾏行为分析 微信：754538539 ⼤大纲 • DDoS攻击简介 • 传统的攻击防护 • 基于云的攻击防护 • 云加速的攻击防护⽅方案 DDoS攻击是什么？ DDoS Distributed Denial of Service 分布式拒绝服务 DDoS对⽹网站访问的影响 DNS flood UDP flood、ICMP flood HTTP flood、SYN flood ⼤大纲 • DDoS攻击简介 • 传统的攻击防护 • 基于云的攻击防护 • 云加速的攻击防护⽅方案 如何防御DDoS攻击 加⼏几台服务器？ 加个防⽕火墙？ 上台⾼高性能的抗DDoS设备？ 再加⼏几G带宽？ 传统的防护⽅方案 游击战，让⼈人防不胜防； 反射攻击，让流量没有上限； badnwidth 我靠，为什么还是不稳定，不安全！！！ ①设备多，可能⾯面临各种问题，需要专业⼈人员维护 ②带宽不够，防护设备规则没更新，攻击DNS更没辙 清洗设备 Firewall 总之啥都需要钱 ⼤大纲 • DDoS攻击简介 • 传统的攻击防护 • 基于云的攻击防护 • 云加速的攻击防护⽅方案 云端服务的优势 本地防御->云端防御 专⼈人维护->托管 冗余采购->弹性收费 长期演进->直接上线 DDoS层级防护 攻击流量层 层递减 近源清洗， ISP、云服务 商对攻击发 起地的流量 监控和清洗 云端清洗，利 ⽤用云服务商的 冗余带宽清洗 攻击 IDC内清 洗，配置专 业防护设备 App进⾏行精 细化防护 ⼤大纲 • DDoS攻击简介 • 传统的攻击防护 • 基于云的攻击防护 • 云加速的攻击防护⽅方案 云端防护的难点 攻击⽬目标多、流量⼤大？ 攻击点分散？ 混合型攻击难发现？ 流量迁移不及时？ ⾃自主防御都很困难，怎么做云防护？ 攻击⽬目标多、流量⼤大--机房建设 全球⾃自建⽹网络节点保障加速能⼒力，重点地区加⼤大带 宽，对抗流量攻击； 云上⽤用户越多，云服务商能⼒力越强； 混合攻击防御--智能防御集群 重点防御设 备全⾃自研， 满⾜足业务定 制需求 深⼊入定制7层 代理软件 nginx，优化 加速效果及 防御效果 攻击点分散--实时监控 速度快 信息全 全流量监控替代传统的流量采样； 攻击点分散--决策系统 调度不及时--dns调度 缓存时间长调度不及时 调度不及时--路由调度 传统的基于dns调度流量的⽅方式需 要10分钟甚⾄至更长时间，新的调度 ⽅方式在30s内完成 将被攻击ip 在⾼高防节点 中进⾏行宣告， 改变路由结 构，直接牵 引流量； 近源清洗系 统，不依赖 于DNS，在 ⾻骨⼲干⽹网处直 接调度流量 攻击防护体系 循环往复，持续进化；