2021年，分布式云成為云計算領域關注的熱點。經過一年時間的探索與沉淀，分布式云開始從理論走向實踐，諸多云計算頭部企業夯實分布式基礎設施建設、優化分布式資源調度、開發分布式應用，為構建分布式云打下了堅實的基礎。

近日，以“引領分布式云變革 助力灣區數字經濟”為主題的全球分布式云大會在深圳隆重召開。在本次峰會舉辦的分布式安全存儲論壇上，華為AntiDDoS產品研發總監楊莉發表了題為《IPv6+云時代DDoS挑戰與對策》的精彩演講。

隨著互聯網業務向云遷移，DDoS攻擊因簡單、低廉及難防御成為云基礎設施最大威脅。從IPv4時代來看，DDoS攻擊呈現出強度持續攀升趨勢，T級攻擊時代到來。今年六七月份，全國多個機房遭受到了T級攻擊，華為記錄的某個機房最多一天遭受了9次T級攻擊；甚至網絡層CC的攻擊強度也提升至50G-100G。第二個趨勢是攻擊復雜度持續攀升， 掃斷疊加脈沖，對云基礎設施構成了巨大威脅。IPv6網絡時代，DDoS對云的威脅會持續加劇，云抗D技術必須有更大的變更，才能應對IPv6時代的DDoS威脅。

俗話說“道高一尺魔高一丈”，抗D技術永遠是跟隨攻擊被動發展。總的來說，利益趨勢下，網絡環境和互聯網業務發展變化促使DDoS攻擊形態發生變化，為了防住攻擊，防御技術需要隨之變革。

當前網絡環境最大變化自然是IPv4向IPv6演進。

從協議安全性角度看，IPv6相比IPv4在DDoS上沒有任何改觀，IPv4面臨的攻擊IPv6幾乎都存在。2018年，CERNET北美網絡節點遭受了IPv6 Memcached反射；2021年國內IPv6網絡層和應用層攻擊頻發，可以說，IPv4網絡向IPv6網絡發展過程中，IPv4出現過的網絡層DDoS攻擊和應用層DDoS攻擊，IPv6網絡照單全收。

IPv6的發展需要經歷一個漫長的過程，雖然大多數國家運營商IPv6網絡已經建設完畢，但互聯網業務依然處于以IPv4為主的時代，所以IPv4和IPv6會處于長期共存狀態，雙棧共存時期的DDoS攻擊也有新的形態。首先是雙棧攻擊，一個業務既有IPv4地址又有IPv6地址，兩者會同時遭受攻擊；其次，雙棧攻擊時期，IPv6的數據會通過IPv4隧道轉發，而DDoS攻擊會隱藏在隧道中，形成IP6over4隧道攻擊。

IPv6協議在IPv4協議基礎上演進，因IPv6協議自身特點引入了一些新型的DDoS。首先IPv6的報文頭引入了擴展字段，增加了靈活性，但也因此引入了利用特殊構筑的IPv6擴展頭發起的擴展頭攻擊。其次，基于ICMPv6的鄰居發現協議（Neighbor Discovery Protocol），發起的NDP flood。

總結來說，IPv6時代有三類威脅形態，第一類是IPv4、IPv6共有的DDoS攻擊形態，第二類是IPv4向IPv6過渡時期的DDoS攻擊形態，第三類是針對IPv6協議的攻擊形態。

針對這三類攻擊，從防御角度講，主要要做到雙棧防御；針對IPv6over4流量，一般來說直接做限速即可，因為運營商IPv6網絡建設已經非常完善，不應該出現IPv6over4流量，尤其是國內各種云已經不存在IPv6over4流量，如果的確有這類特殊場景，建議把隧道做白名單管理，其它隧道流量直接做限速；對IPv6流量則默認提供報文頭合法性檢查，以及NDP流量限速。

IPv6另一個特點是地址無限， 這導致IPv6時代主流DDoS攻擊形態包括虛假源網絡泛洪、UDP反射、TCP反射、掃段、CC攻擊的攻擊強度相比IPv4時代會更加猛烈。

大流量攻擊頻發，且攻擊成本廉價，經常不足百元就能發起大規模DDoS攻擊，但防御需要花費數萬甚至數百萬。而攻防對抗本質上是成本對抗，因此，防御技術亟待變革。

以華為自身為例，5年前，抗D算法以CPU即C碼實現為主，即“軟防”，面對日益攀升的攻擊強度，沒有任何成本優勢，不得已、華為摒棄單一的“軟防”，借助專業硬件即NP（Network Processor）防御網絡層大流量攻擊，即“硬防”。針對單節點的云，可以有效降低防御成本。

此外，面對T級攻擊常態化態勢，對任何云而言，邊界On-premise防御失效；為了解決這個問題，有些云會借助T級高防預洗攻擊，干凈的流量回源到云，但自建高防成本較高，畢竟攻防本質上就是成本對抗，防御如果成本太高，等于防御失??；還有一些云會借助運營商的云云清洗在網絡上游攔截攻擊，但同樣面臨成本高的問題，同時運營商云清洗還存在調度慢的問題，T級攻擊多是秒級加速（2021年多個攻擊樣本統計結果顯示每秒加速可高達70G以上），且攻擊持續時間短到不足2分鐘，結果調度還未完成，攻擊就已經結束了。

楊莉表示，國內頭部云廠商主流的做法，是依托云骨干和邊緣節點，利用Anycast的調度，形成全網分布式近源清洗網絡，但受國內運營商網絡環境限制，很難真正做到路由隨時隨地的Anycast，因此也引發出一種叫做運營商代播的技術。

掃段攻擊已經成為互聯網公害，幾乎所有網絡層DDoS攻擊形態都可以被用來做掃段，近年來數十甚至上百的C段同時被攻擊已經成為云面臨的最普遍網絡威脅。到了IPv6時代地址海量，有可能出現上千C段同時被掃段的情況。

楊莉舉例說，2021H1，香港100多個C段同時被攻擊，到每一個目的IP地址的攻擊報文速率不到100PPS，對單目的IP而言，無法觸發防御，這類掃段攻擊叫做“單IP低速掃段”。

雖然攻擊對單目的IP而言，沒有形成直接的DDoS威脅，但因為同時被攻擊的IP數量龐大，所有IP加起來形成的攻擊強度還是比較大的，最終導致機房的帶寬擁塞，整個機房的業務受損。還有一種掃段是“單IP高速掃段”，“單IP高速掃段”是指攻擊速率高，能觸發每一個目的IP的防御，但要求云邊界抗D系統具有高并發主機防護能力。

2021年，掃段攻擊復雜化，疊加了脈沖攻擊形態，使防御更加困難。過去單IP流量太大危及云基礎網絡設施安全，云通常采用秒級黑洞保護云自身網絡，但是掃段無法使用黑洞，如果對被攻擊的C段全部采用黑洞則大部分網絡也會被切斷，相當于殺敵一千自損八百。

針對IPv6面臨掃段攻擊更嚴重的情況，華為采用三層防御架構，對單個云網絡來說是兩層防御，即第一層網段防御，第二層是主機防御，網段防御層過濾掃段攻擊，保護云網絡，主機防御層過濾傳統的針對單IP的DDoS攻擊，保護云租戶業務。

如果掃段攻擊流量大到危及云網絡鏈路帶寬，則啟用BGP flowspec，在運營商網絡阻斷掃段攻擊，將對云的攻擊損失降低到最小。當前運營商已經逐步采用BGP flowspec替代傳統的單一的基于黑洞路由的流量封堵技術。

同樣，為了獲利，互聯網業務發生變化亦驅使DDoS攻擊形態發生變化，最終引發抗D技術隨之變革。過去互聯網業務以網站為主，結果以WEB CC為主。如今互聯網業務復雜了，針對APP的CC攻擊，針對云微服務API的CC攻擊日漸猖獗。

另外，80%的流量都加密了，但DDoS攻擊并沒有因為加密而減少，反而讓防御更加困難，再加上隨著IPv6發展，5G、物聯網興起，海量僵尸主機越來越廉價，導致CC攻擊速率越來越高。

互聯網業務變化對防御技術產生的影響非常大，可以說傳統防御技術失效。首先，過去網站防御通常采用基于重定向的源挑戰認證技術，但這類防御技術不能應用于APP和API業務防護，不僅認證強度不夠，攻擊會繞過，關鍵APP和API訪問會中斷。

其次，針對加密攻擊，很多廠商提倡的是解密防御，但解密防御的性能非常低，導致邊界抗D喪失成本優勢，最重要的是會成為網絡的性能瓶頸。

最后面對海量僵尸發起的低速CC，每一個僵尸攻擊速率非常低，導致源限速失效。

楊莉提到，針對這些變化，華為對HTTP CC及HTTPS CC防御根技術進行了變革，摒棄源認證技術，采用多維度的源行為分析技術防御高頻CC，同時引入滑動窗口模擬機器人周期性攻擊行為，提升行為分析識別CC攻擊的準確率。行為分析防御屬于非侵入式防御技術，對業務的兼容性好，且防御性能有明顯優勢。

尤其基于行為分析防御加密CC，不解密防御性能是解密防御的幾十倍，且完美地規避了邊界抗D解密防御的部署缺陷。近年來AI技術火熱， AI的智能分類技術非常適合用于僵尸識別，華為主要用于防御低頻HTTP CC。

近年云原生安全火熱，過去云邊界抗D主要職責是防御網絡層攻擊，但隨著CC攻擊強度大幅度攀升，危及云網絡基礎設施，因此云邊界抗D必須過濾大流量CC。比如，2019年3月某云上廣告API調用遭受175Gbps的CC攻擊，其中25Gbps網絡層CC，150Gbps HTTP CC。

因此，云原生安全已經逐步將CC攻擊納入DDoS防護服務看護范疇。那么，華為云原生安全到底怎么做的？首先針對網絡層泛洪攻擊，華為云依據租戶具體防護帶寬劃分為不同的防御組，比如10G防御組，50G防御組，依靠專家策略模版，即可做到全程無干預防御。其次，針對復雜的CC攻擊主要 借助“防御自動駕駛”實現防御全程自動化。

大家知道，華為的網絡已經成功實現了“自動駕駛”，當前DDoS防御華為也在主推 “自動駕駛”。所謂“自動駕駛”，就是過去CC防御效果不好，全靠運維人員手工去調優策略，現在這個過程是系統自動去執行。

簡單來說，就是當某IP遭受CC攻擊且出現漏防時，系統會自動對被攻擊IP各種維度流量做做快照，自動分析、評估防御效果，找出漏防流量，同時將被攻擊的IP的防御環境進行克隆創建新的防護組，基于新的防護組進行防御策略針對性地收緊調優，同時持續進行流量快照、防御效果評估循環，只有當防御后多維度的轉發流量和流量基線相符合，即說明防御效果達成，此時停止策略調優過程。攻擊結束，系統自動進行攻擊數據歸檔， IP防御環境復原。

最后，楊莉表示，云網絡租戶和云主機數量龐大，大流量CC攻擊如果還依靠傳統的人工響應策略調優，成本將達到難以想象。華為希望借助防御自動駕駛，實現云原生CC防御全程自動化。

原文標題：華為楊莉：IPv6+云時代DDoS挑戰與對策

文章出處：【微信公眾號：華為數據通信】歡迎添加關注！文章轉載請注明出處。