You need to enable JavaScript to run this app.

DDoS/CC攻击频发,企业如何构建有效防护

最近更新时间2022.12.09 15:37:23

首次发布时间2022.12.09 15:37:23

近日,2022 CCS 成都网络安全大会顺利结束,火山引擎云安全工程师欧阳鹏进行了《云上业务网络安全防御体系建设和应用案例》的议题分享。他基于火山引擎云安全团队的实践案例,讲述火山引擎网络防护解决方案如何帮助企业构建起纵深DDoS/CC防御体系,并结合业务实际场景给出最佳防护方案。

火山引擎长期关注并重视用户的信息安全。近几年数字技术与实体经济加速融合,泛互联网、金融、游戏等行业繁荣发展,引来黑产团伙觊觎。在各大企业中,随着自身业务规模不断扩大、客户群体不断增加,面临的网络安全威胁也不断增多。其中DDoS攻击和应用层CC攻击更为频发,这些攻击往往会导致公司业务中断、瘫痪,不仅严重影响公司业务正常运营,更会损害公司的口碑与收入。

云上业务遭受DDoS攻击威胁

欧阳鹏在分享中以真实实践案例作为了切入点。某网络科技有限公司的业务主要基于云上开展,为各大网络站点提供行为验证、身份验证、安全情报等验证服务。该公司业务在同行业中有较高的市场占有率,服务的目标客户企业遍布金融、直播、教育等多个领域。

随着该公司市场占有率上升与客户群体扩大,面临的网络安全威胁也不断增多,最显著的是该公司业务长期遭受DDoS和应用层CC攻击。这些攻击多次导致该公司业务出现中断、瘫痪,严重影响公司业务的正常运营,损害公司产品的口碑与收入。
DDoS攻击现状分析

在此过程中,该公司尝试接入过不少云安全厂商提供的解决方案,但在反复的测试、试用过程中,都难以实现高效、全面、让业务满意的防护效果。主要原因有以下4个方面:

  1. 该公司业务本身属于业务安全范畴,在安全行业与能力上已有一定程度的积累,面临这些网络安全问题时,对具体的安全防护方案与技术能力有更高的标准与要求;
  2. 公司业务本身受攻击的频率极高,业务场景复杂,这对项目整体的防护策略与方案提出更大的挑战;
  3. 业务自身有一些定制、自研的底层协议,需要在防护策略、防护算法上进行适配兼容,避免造成误伤;
  4. 业务的服务场景对时延敏感,丢包容忍度低,这都需要防护方案能做好适配防护,以达到满意效果。

构建纵深防御体系

火山引擎云安全团队结合这些客户业务场景中常见的痛点、难点,为客户提供了火山引擎网络防护解决方案:

1.构建网络防护纵深防御体系

火山引擎网络防护解决方案基于自主研发的防护引擎和DDoS、WAF等防护产品构建多层防御体系,对3至7层攻击流量分层而治,对不同场景攻击流量分层治理,并结合端侧特征实现攻击流量的精准识别,从而实现防护的高效与可靠性;同时该方案使用自主研发的新型防护算法,并结合传统防护策略,能够有效抵御TCP四层CC攻击、TCP反射攻击、TCP中间盒攻击等多种攻击手法,为客户业务提供优质防护体验。

2.事中有效防护

在防护过程中,该方案依托海量带宽储备资源与优质的BGP线路,为业务提供T级的BGP DDoS防护能力。其能够让攻击流量在被系统检测识别后能被率先清洗、过滤,保障正常流量回注到源站,让业务免遭大规模流量攻击的同时享受优质的网络质量。

3.事前预警与事后分析

在事前预警和事后分析方面,该方案可以为客户提供完备的数据可视化与安全事件告警能力,帮助客户构成防护DDoS、应用层CC攻击的纵深防御体系。

在接入火山引擎网络防护解决方案后,已为该客户业务累计防护近百次DDoS攻击。其中,最高攻击峰值突破300Gbps,防御包括SYN flood,ACK flood等在内的多种攻击,包括业界难以有效防护的TCP反射、TCP四层CC、应用层CC等攻击手段,均被火山引擎网络防护解决方案有效解决,保障业务能够稳定运行。
火山引擎的纵深防御体系

优势复制,为云上业务保驾护航

火山引擎网络防护解决方案具备三大优势,能够有效解决DDoS、应用层CC攻击等问题:

1.先进全面的防护架构

火山引擎网络防护解决方案具备先进全面的防护架构,能够解决客户云上业务在面临攻击时防护资源不足、对抗能力薄弱、防护场景覆盖不全面等问题。同时,火山引擎网络防护解决方案能够为业务提供量身打造的防护策略,除了内置的防护能力与策略外,能提供贴身定制的四层DDoS与七层CC防护策略,适配业务的各类网络参数、配置等定制化需求。

2.灵活兼容易部署的防护方案

火山引擎网络防护解决方案,能够依托纵深防御体系与灵活的策略定制能力,实现对各类客户业务场景和需求的兼容。

同时火山引擎网络防护解决方案的防护思路与方案能够立足业务场景,基于客户业务面临的攻击频次、规模来提供最匹配的防护方案。该方案还可基于业务的定制化逻辑、场景(例如底层协议的改动),在防护策略与方案上进行有效的适配兼容,方便业务进行接入、测试、防护,极大降低客户业务防护成本。

3.感知、防护、管理一体化,攻击可溯源

火山引擎网络防护解决方案可以帮助客户实现感知、防护、管理一体化,包括对流量的实时、自动分析、自动防护;提供丰富的可视化能力与策略配置、管理能力,让客户能对整体攻防情况进行全面掌控。同时该方案具有攻击溯源的能力,依托7x24专家服务、智能数据分析、防护数据可视化等能力,为业务实现攻击溯源进行有效支撑。
火山引擎网络防护解决方案

火山引擎网络防护解决方案具有很好的可复制性与兼容性,可以适配各类业务场景,为客户的云上业务保驾护航。在未来,火山引擎云安全还将持续结合字节跳动内部安全防护体系、最佳实践和技术创新,为企业用户提供更为全面的网络安全解决方案。