- 决胜金融安全3.0时代:新金融+新科技+新安全
- 李洋
- 11字
- 2020-08-27 11:23:01
3.2 网络空间安全策略分析
3.2.1 DDoS防御
DDoS(分布式拒绝服务)攻击通过巨大的流量拥堵带宽,造成业务中断。在金融系统中,业务中断会造成巨大的资金损失,还需要上报相应的监管机构。根据攻击流量的规模,可以将DDoS防御划分为三个层次:数据中心级近目的清洗、云清洗以及运营商清洗(见图3.5)。
图3.5 DDoS防御
数据中心自建抗DDoS系统能够解决不高于自身带宽的流量攻击(见图3.6)。带宽较大的企业会采取这种方案,能够在一定程度上处理部分攻击。企业可以采购一套抗DDoS设备,此类设备一般分为流量检测和流量清洗两部分。通过结合路由配置,抗DDoS设备在攻击发生时可达到检测、牵引、清洗、回注的效果。
图3.6 数据中心自建抗DDoS系统
自建抗DDoS系统的局限在于数据中心的带宽,当攻击流量超过其拥有的带宽时,就必须要借助外部的力量。企业可与具备抗DDoS能力的云安全厂商建立关系,形成云防护抗DDoS机制。云防护抗DDoS主要是通过修改域名CNAME记录,将流量导到云上进行清洗,完成后再返回到企业的数据中心。由于国情限制(比如不支持任播机制、小运营商众多),通过DNS牵引的方式在历经较长时间后才会生效,DNS缓存刷新周期时间不可控,在这期间只能等待。
若企业规模足够大,除了与云安全厂商合作,也可直接采购运营商的抗DDoS防护方案,比较典型的是“电信云堤-抗D”。“电信云堤-抗D”除了能提供云防护厂商修改CNAME对流量进行牵引的功能外,还有另外两种独有的DDoS防护方式:近源清洗和流量压制。在IDC自建抗D系统对攻击流量进行清洗属于近目的清洗(见图3.7),攻击流量已经到达目的网络。而近源清洗(见图3.8)通过位于攻击源就近的防护节点对流量进行清洗,到达目的网络的恶意流量基本被清洗掉了。
图3.7 近目的清洗
图3.8 近源清洗
无论是DC级的近目的清洗、云清洗,还是运营商清洗所使用的检测策略和清洗策略,基本方式是一样的。DDoS攻击主要发生在TCP/IP协议的第四层和第五层,在清洗时首先需要识别出攻击特征,并且要尽可能减少对正常业务的影响。DDoS攻击与正常流量相比有某些异常特征,包括IP发包频次异常、协议异常、请求异常等。如2018年3月发生的利用Memcached服务器实施反射放大攻击,其攻击特征就很明显,因此可直接对UDP协议且端口号是11211的包进行封禁。针对第四层TCP层面的泛洪攻击,除了在协议层进行调整外,可封禁那些高频次发起TCP请求的IP。CC(Challenge Collapse,挑战黑洞)攻击是一类比较典型的应用层DDoS,这类攻击主要会消耗计算资源,可根据实际情况分析攻击点,然后对具体的API进行总体限速,也可对每个IP进行限速,在防御的同时也尽可能保证业务的连续性。在实际情况中,也可能同时存在多种DDoS攻击类型,因此在清洗时也要组合使用多种方式。