什么是云清洗？云清洗如何防御DDoS攻击

一、什么是云清洗

       加拿大15岁的迈克尔·杰克逊(Michael Jackson)说，2000年7月，Kars发起了历史上第一次大规模的DDoS攻击，目标是雅虎(yahoo)、CNN、eBay、戴尔(dell)和亚马逊(amazon)等热门网站。事实证明，一个孩子就能把雅虎搞垮；那个时代的DDoS防御技术仍然像防火墙一样连接在一起。DDoS成为黑客战争的主要武器。常见的维护措施，如拔网、更换IP、路由黑洞等，都只是保护网络的手段，却极大地损害了终端用户的利益。2005年10G的攻击开始频繁出现，DDoS成为政治和商业竞争中心照不宣的网络核武器。同年，Cisco收购以色列Riverhead公司推出Guard产品，成为第二代DDoS防御的标志性解决方案，旁路部署的清洗中心成为各大运营商的主流安全法宝之一。2010年云计算风潮扑面而来，随着宽带提速等云时代的网络发展，DDoS攻击升级到百G时代，更加容易塞满入口带宽、冲击转发丢包、耗尽应用连接。经典的流量清洗设计也只能防护自建的清洗中心覆盖下的客户，无法适应云时代移动服务的新需求。Arbor公司开发的云信令(Cloud Signaling)技术，使得本地清洗与云清洗有机地融为一体，本地清洗系统在必要时调用云清洗中心的资源，形成“云上”清洗大流量、“云下”清洗应用层的全新景观。

二、云清洗金三角

        云清洗是云计算时代的全新防御体系设计，其分别由云火墙系统、云调度系统与云清洗系统组成，工作模式如下图：

         云火墙是部署在本地网络边界的防火墙类安全网关(如UTM，WAF，IPS等状态检测设备)，新增向外发出云信令与接收统一云策略的通信功能，串接模式保障7×24小时尽可能处理本地能够解决的攻击类型(前提是带宽不满，转发正常，策略固定等)，其重点在本地应用层防御。

        云调度是集中接收云信令后统一分析及甄别安全问题、决策哪些在本地解决、哪些按需调度云端资源解决的指挥系统。其智能化响应速度决定于SOC(安全运营中心)的 ERT(紧急响应小组)防御经验的广度与深度。

        云清洗系统是由分布式部署在高带宽云端的流量清洗中心组成。每个清洗中心擅长处理的攻击类型不同、所处地理位置不同、所属网络不同，可以按需处理调度中心牵引过来的问题流量，其重点在网络层防御。

        云信令是本地安全系统中一种向云端系统通知本地状态与报警申请支援的通信协议，云调度系统收到云信令后决策启动云清洗或停止清洗策略。

        原有部署在本地边界的防火墙等串联安全网关，通过新增旁路探测器异常检测系统即可实现云信令的功能，在探测到带宽拥塞、转发丢包、状态耗尽时向云端呼叫支援。

三、云清洗三打DDoS

        DDoS最直接有效的攻击就是将出口带宽塞满，令本地的任何防护设备都无济于事。流量型、流速型、应用型等多种变化混合的DDoS攻击将使技术人员无所适从。“云清洗”面对这样的敌手，如何根据DDoS攻击类型与网络流量状况及清洗系统本身特点，集中引导流量到不同网络上的清洗中心，疏导网络拥堵，定向屏蔽持续的攻击?云调度系统则成为云清洗成功与否的关键，作为云清洗体系的大脑中枢，统一指挥及部署检测系统、清洗系统、路由系统等，使全网设备有机和谐地工作，就能在最正确的位置有效防御DDoS攻击，进而实现流量运营的整体安全。

        本地一滤DDoS：本地边界上的云火墙承担着这个重任，在出口带宽未堵与串联设备处理能力范围内，尽可能处理掉应用类攻击：如HTTP GET、DNS攻击、慢速攻击。

        云端二洗DDoS：当探测器发现出口带宽已堵或者串联设备处理能力耗尽，秒级确定被攻击IP地址并通过云信令申告，云调度系统根据攻击大小与类型选择预配置的清洗中心处理。

        源端三封DDoS：云调度中心在持续采集攻击样本与路由溯源的分析定位攻击源所在物理位置，动态下发策略拦截DDoS在近源位置的网络设备，封堵长期发出大流量的攻击源。

        “云清洗”是一个攻击防御体系架构，亦是一种按需清洗服务。无论用户在什么网络，遇到什么种类攻击，无需用户购买任何硬件设备，云清洗设计都能提供用户承担的起的DDoS清洗服务，将攻击消灭在最正确的有效位置。

四、云清洗的选择比较

  当前主流的DDoS清洗模式有如下图所示四类。

         由此可见云清洗模式与传统清洗模式是互为补充的，是一种云时代专业安全服务新模式，专用的云清洗网络(CCN)、与专业的清洗设备与技术团队，以及按使用时长与级别的收费模式皆是针对DDoS攻击特点设计，保证提供面向用户能负担起的DDoS清洗服务。

五、云清洗发展方向

      今天,云服务的商业模式变得越来越清楚,云本身的可用性一直是一个可持续的业务操作的关键因素,讨论云计算信息安全的威胁,第一个可用性的前提下,进一步解决问题的信息完整性和机密性。在金三角云净化系统中，将局部云防火墙接入网络，实时检测攻击特征。如果交换与云数据(如僵尸网络库),列表自动更新在共享威胁库,动态生成相应的策略,是最大的可能的阻塞数据中心内部和外部主服务器恶意机器人通信、消除隐患的APT的攻击,安全数据中心信息安全的两个方向。然而，除了针对DDoS，云清理中心还能做什么呢?异步模式可以清除SQL/XSS攻击吗?还有一个实际部署的问题，上下游都是同一家公司的清洁设备，容易实现云信令通信，如果是不同的供应商如何工作?DDoS攻击方式正在发生变化，如何充分利用多家厂商的技术积累，实现云清洗联盟是可行的，这些都是云清洗发展的下一个突破方向。