刀尖上的舞蹈——DDoS攻防对抗 阿里巴巴集团安全部 朱家睿 2015-10-15 2015-10-15 DDoS攻击是互联网服务的噩梦，是 看不见硝烟的战场 什么是 DDoS 攻击 ？  DDoS（Distributed Denial of Service） 分布式拒绝服务攻击  堵塞带宽，消耗资源 让服务器无法提供正常服务 6 DDoS攻击流量趋势 2014.12 2014.2 400Gbps 2013.3 300Gbps 453Gbps 阿里云 CloudFlare Spamhaus  DNS、NTP、Chargen反射攻击助 力DDoS攻击轻松上百G  移动终端也加入“僵尸”网络阵 营  Spamhaus 300G（DNS反射），创 造历史 2013年前 <200Gbps  阿里云453G，刷新互联网记录！ 僵尸网络 反射攻击 智能终端 7 DDoS攻击不只是大流量 CC 攻击 随机url HTTP Post HTTP Get Local DNS UDP Flood DNS FLood CDN DNS SYN Flood 四层 DDoS 权威 DNS NTP反射 DNS 反射 DRDoS反射 Connection Flood SSDP 8 DDoS攻击不只是大流量 CC 攻击 Local DNS 随机url HTTP Post HTTP Get DDoS是力量与巧妙的结合 UDP Flood DNS FLood 权威 DNS NTP反射 DNS 反射 SYN Flood CDN DNS 四层 DDoS DRDoS反射 SSDP Connection Flood 几个例子 • 随机域名攻击,Local DNS 无法缓存，权威DNS被打死 • 随机URL攻击，穿透CDN Cache，源站被打死 阿里云云盾 第三季度DDoS态势报告 11 大流量攻击成为常态 详细报告，可关注“阿里云安全”微博、微信获取 哪些行业易被攻击？ 详细报告，可关注“阿里云安全”微博、微信获取 13 攻击源最多为越南和广东 TOP5国外攻击源 越南 48.5% 14.8% 美国 韩国 泰国 巴西 TOP5国内攻击源 12.5% 5.7% 4.1% 广东 15.9% 浙江 9.8% 山东 8.7% 江苏 河南 7.3% 6.2% 详细报告，可关注“阿里云安全”微博、微信获取 14 移动终端成为新的攻击源 详细报告，可关注“阿里云安全”微博、微信获取 15 最活跃的僵尸程序是BillGates 详细报告，可关注“阿里云安全”微博、微信获取 16 阿里如何防御？ 17 阿里巴巴众多业务： 天猫、淘宝、支付宝…… CDN 和 云业务 云业务带来的变化： 攻击数量和流量指数级上升 100个用户100种应用，用什么策略？ 1Gb/s的正常业务和100Mb/s的攻击如何分辨？ 大流量的连带“躺枪” …… 19 自主研发  自主研发，贴合业务， 模块间紧密配合  快速迭代，适应业务 发展 秒级检测  分光检测，1S级预警， 2秒完成处理，避免躺 枪  20种流量成分秒级判断， 精确判断攻击  流量阈值自学习 分析调度  IP业务识别和策略自 学习  大数据分析，10万种 业务，1千种模型 清洗系统  高性能：单台百G  线性扩容，TB容量  四到七层全面防御