|
2018 |
|
|
适用范围:公开
启明星辰 天清网站抗DDoS云服务解决方案 |
|
|
|
|
北京启明星辰信息安全技术有限公司
Beijing Venustech Cybervision Co., Ltd
二零一八年九月
版权声明
北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
1.1 背景与现状
2017年,是我国在网络空间法治化进程中重要的里程碑,《网络安全法》正式颁布施行,标志着我国在网络空间治理方面上了一个新的台阶。同时对负责关键信息基础设施安全保护工作的部门提出了更高的要求。
习近平总书记在2014年2月27日下午主持召开中央网络安全和信息化领导小组第一次会议并发表了重要讲话,当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。重要指出没有网络安全就没有国家安全。
据CNCERT《2016 年我国互联网网络安全态势综述》中 监测到 1Gbps 以上 DDoS 攻击事件日均 452 起,比2015 年下降 60%。 但同时发现, 2016 年大流量攻击事件数量全年持续增加, 10Gbps 以上攻击事件数量第四季度日均攻击次数较第一季度增长 1.1 倍,全年日均达 133 次, 占日均攻击事件的 29.4%,另外 100Gbps 以上攻击事件数量日均达到 6 起以上,并监测发现某云平台多次遭受 500Gbps 以上的攻击。从攻击目的来看, 67%涉及互联网地下黑色产业链;攻击方式来看,反射攻击依旧占据主流;从攻击源 IP 地址对应设备来看,除了传统的 PC“肉鸡”和 IDC 服务器外,智能设备也逐渐被利用为 DDoS 攻击工具。
近年来,随着网络攻防形势越来越严峻,面临来自互联网的威胁也越来越大。当前新概念、新机理攻击手段快速演进,网络攻击强度不断攀升。恶意攻击目的已经由传统的个人能力炫耀,发展到黑客团体盗取网上资金、用户隐私和重要数据获利,甚至已经上升到有国家支持背景的对抗博弈。尤其针对电商网站等目标采用恶意爬虫,严重干扰了电商网站的正常运营,加之不断增加的攻击资源,变化账户、变化IP地址、变化攻击手法对传统的安全防护提出了新的挑战,面临错综复杂的网络环境业务系统也需要一种新的防护理念。
以上这些攻击威胁,多是成规模、成系统的实施资源消耗型攻击,消耗客户向公众提供服务的能力。针对这种网络安全环境,单靠本地的安全防御能力已无法适应当前的网络安全挑战,有效结合和利用成熟的云防护安全能力来对抗复杂的DDoS攻击和Web攻击,在客户业务外围构建面向多场景复杂攻击的安全防护体系,防范来自互联网的海量的DDoS攻击和各种针对业务的Web攻击。
2.1技术发展趋势
一般用户考虑采用本地设备抵御DDoS攻击,遇到大流量攻击时,往往无能为力。随着抗DDoS等技术的发展,云清洗服务应运而生,主要擅长大流量DDoS攻击防御。
从技术机理上看,云清洗服务首先通过专业的智能DNS,将网络访问流量引到拥有大量带宽资源的防护节点,然后在该节点中对这些流量进行安全检测,清洗异常流量、阻断网络攻击、发现应用层攻击和爬虫等,最后将业务流量返回到源站点,以完成正常的访问流程。
启明星辰已经建立起了先进、强大、稳固的抗DDoS云防护平台,在现今DDoS攻击频繁并不断恶化的情况下,针对政府、金融、电商、娱乐等各行业线上业务系统,可有效解决DDoS攻击对此类业务造成的影响,保障其业务系统永续运行。
公司基于运营商骨干核心网络收集和处理海量的流量数据,在保障区域网络畅通的同时,对异常流量进行大数据建模分析,可及时对DDoS攻击进行分析,做到未雨绸缪,启明星辰在此类资源和技术方面已经具有领先优势。可有效杜绝DDoS欺诈勒索等网络犯罪行为,协同保障国家网络空间安全。
基于启明星辰在DDoS防护领域的领先技术和产品,可与启明星辰现有解决方案结合,进一步提升公司面向互联网、物联网、云计算等领域的信息安全服务能力。
尤其在目前利用物联网的接入设备漏洞发起大规模DDoS攻击:手持终端、智能家居设备、车载智能终端等等;及基于AI技术的各类智能系统(无人机)的安全漏洞发起的DDoS攻击等各种DDoS攻击技术层出不穷的情况下,可有效扩展启明星辰在信息安全的服务领域和提升信息安全的技术能力。
2.2防护需求
2.2.1防护范围
天清网站抗DDoS云服务平台主要针对网站类业务进行接入防护,同时支持http与https方式访问的网站,且以https方式访问的站点,必须提供SSL证书。
天清网站抗DDoS云服务接入申请表
基本信息 |
|||
客户单位名称 |
|
申请接入时间 |
|
客户技术接口人 |
|
联系方式 |
|
邮箱 |
|
|
|
启明星辰接口人 |
|
联系方式 |
|
域名信息 |
|||||||
域名1 (注意1个域名是否对应多个IP) |
域名 |
|
IP地址 |
|
|||
访问方式(http or https) |
|
|
|||||
端口 |
|
|
|||||
备案号 |
|
CPU/内存 |
|
||||
运营商 |
|
操作系统 |
|
||||
带宽大小,是否独享 |
|
数据库类型 |
|
||||
日常访问量 |
|
Web应用类型及版本 |
|
||||
是否使用CDN产品 |
|
是否和其他服务共享硬件 |
|
||||
是否使用同类云防护产品 |
|
云环境是否与其他服务器共享资源 |
|
||||
是否有APP类业务 |
|
|
|
||||
是否与第三方平台交互 |
|
|
|
||||
是否有在线支付业务 |
|
|
|
||||
域名2 (注意1个域名是否对应多个IP) |
域名 |
|
IP地址 |
|
|||
访问方式(http or https) |
|
|
|||||
端口 |
|
|
|||||
备案号 |
|
CPU/内存 |
|
||||
运营商 |
|
操作系统 |
|
||||
带宽大小,是否独享 |
|
数据库类型 |
|
||||
日常访问量 |
|
Web应用类型及版本 |
|
||||
是否使用CDN产品 |
|
是否和其他服务共享硬件 |
|
||||
是否使用同类云防护产品 |
|
云环境是否与其他服务器共享资源 |
|
||||
是否有APP类业务 |
|
|
|
||||
是否与第三方平台交互 |
|
|
|
||||
是否有在线支付业务 |
|
|
|
||||
注意:访问方式为https的域名,必须提供SSL证书!!! |
|||||||
网络环境 |
|||||||
网站开发商 |
|
域名注册商 |
|
||||
DNS提供商 |
|
CDN提供商 |
|
||||
提供用户网络结构,包括内网安全设备部署拓扑图(请补充)和互联网流量走向图(请选择):
(示例1-互联网流量走向图,无CDN加速)
(示例2-互联网流量走向图,有CDN加速) |
|||||||
2.2.2防护内容
通过深入挖掘政府、金融、电商、娱乐等客户的安全需求,为帮助其解决日益严峻的互联网安全威胁,依托公司的抗DDoS高防节点、联防调度平台、安全大数据平台、资深安全工程师以及专业研发团队,推出以“分身安全保护、管家式服务”为核心理念的整体防控云安全服务解决方案。
天清网站抗DDoS云服务服务完全基于SaaS模式,采用反向代理技术实现“分身式”安全防护,在访客和真实服务器间筑起多道无法逾越的高墙,黑客无法获取真实服务器的IP,只能获取到天清网站抗DDoS云服务的安全IP。所有请求流量均会被分流到多个“分身形式”安全防护节点上,经过防护和处理后,再将洁净的流量传递给网站的真实服务器。
3.1 天清网站抗DDoS云服务概述
天清网站抗DDoS云服务平台是业界首家拥有5000G DDoS防御能力的云防护平台,10~300G防护级别、按需定制、零部署、零维护,保障您的线上业务永续运行。
可视化地向您展现业务系统运行过程中网络攻击和安全防护态势,无论是DDoS/CC攻击、SQL注入、XSS跨站攻击等,实时展现攻防态势,对业务系统可用性进行毫秒级监测。
3.2 复杂DDoS/CC攻击防御
1) 分布在全球的近20个高防数据中心,全网5000G抗DDoS联合防御能力,高达1.2T单节点防护,全球智能调度联防体系可应对超大流量DDoS攻击。
2) 防护引擎能根据访问特征智能识别CC攻击,可在10ms内快速确定攻击IP,豪秒级对攻击IP进行封锁,完全拦截CC攻击。
3) 全面防御所有类型的DDoS攻击,自动触发、实时防护, 可无限高效防御CC攻击。
4)丰富积累了WEB爬虫程序特征,包括搜索引擎、扫描器、恶意爬虫、僵尸网络等各种扫描器,根据攻击行为分析记录可以自动识别、分析攻击者使用的技术手段并直接屏蔽。
5) DDoS高防可为正在遭受攻击的Web系统提供抗DDoS应急服务,紧急时刻能快速接入DDoS高防节点,从容应对大流量攻击。
6) 无需安装任何软硬件,通过配置智能DNS实现云防护;为满足用户数据私有化的需求,可提供专用节点实现独立部署。
7) 技术专家运维团队提供7*24小时监控服务,随时应对各种复杂攻击;提供多维度、高可视化报表,系统状况尽在掌握。
威胁防御类型 |
|
异常过滤 |
黑名单/基于HTTP协议字段的过滤/TCP/UDP/other协议负载特征过滤 |
协议漏洞威胁防护 |
IP Spoofing;LAND攻击;Fraggle攻击;Smurf攻击;Winnuke攻击; Ping of Death攻击;Tear Drop攻击; IP Option控制攻击;IP分片控制报文攻击;TCP标记合法性检查攻击;超大ICMP控制报文攻击;ICMP重定向控制报文攻击;ICMP不可达控制报 文攻击 |
扫描窥探威胁防护 |
端口扫描攻击;地址扫描攻击;TRACERT控制报文攻击;IP源站选路选项攻击;IP时间戳选项攻击;IP路由记录选项攻击等 |
传输层威胁防护 |
SYN flood攻击;ACK flood攻击;SYN-ACK flood攻击;FIN/RST flood攻击;TCP fragment flood攻击;UDP flood攻击;UDP fragment flood攻击;ICMP flood等 |
应用型威胁防护 |
虚假源DNS query flood攻击;真实源DNS query flood攻击;DNS reply flood攻击;DNS缓存投毒攻击;DNS协议漏洞攻击;HTTP get /post flood 攻击;CC 攻击;HTTP slow header/post攻击;HTTPS flood攻击;SSL DoS/DDoS攻击;TCP连接耗尽攻击;Sockstress攻击;TCP重传攻击;TCP空连接攻击;SIP flood等 |
分布式防御 全网调度 |
全球近20个IDC高防节点,DDoS防护智能调度系统实时分析异常流量,指导DDoS高端专用设备进行攻击流量负载和引流,并同步进行近源攻击阻断。 |
3.3 云web防护
基于大数据安全分析技术,利用云端联动防护,搜集来自多种数据源的信息安全数据,主动获取关于未来安全威胁信息,SQL注入、XSS跨站攻击、CC攻击等web类攻击实现最佳的安全防护。
1) 防御OWASP 常见威胁:针对SQL注入、XSS跨站、Webshell上传、后 门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等进行安全防护。
2) 友好观察模式:针对网站新上线的业务开启观察模式、对于匹配中防护规则的疑似攻击只告警不阻断、方便统计业务误报状况 。
3) 实时解决垃圾注册、刷库撞库、活动作弊、论坛灌水等严重业务风险,提高最佳用户体验、无需网站修改源码/调用API接口等繁琐操作即可实现快速上线防护。
3.4 分身云安全
隐藏接入到启明星辰天清网站抗DDoS云服务平台中客户网站的真实服务器IP,所有请求流量均会被解析至平台安全防护节点上,攻击者只能获取防护节点IP而无法获取客户源站的真实IP,攻击流量达到防护节点后被清洗、防御,为客户源站服务器提供云替身保护。
3.5 云监控
对添加到云监控中的域名进行实时的网站可用性监控、DNS解析监控等,并第一时间通过短信、微信、邮件等方式将监控到的异常情况通告给预设的管理员,对故障信息及时响应。
1)实时掌握业务系统性能变化曲线,为业务速度优化提供有力的参考。
2)7*24小时持续监控运营商链路网络性能表现,快速找出业务的网络性能瓶颈。
3)持续监控各大洲、大区、省份网络性能表现,快速定位业务系统用户体验不理想的区域和省份。
4)业务系统在什么时间访问错误,具体错误内容,在哪些区域、哪些ISP出错等详细信息,并提供原始错误信息记录,方便运维排查问题。
5)深入到网页元素级监控,准确识别页面元素正确性、响应时间及实时状态,深入分析页面加载的每一个细节。
3.6 云加速
基于CDN技术,提供多种网站加速功能,如静态页面缓存、链路优化、网页代码压缩等,极大地提升了网站访问速度。因为缓存技术的使用,访客在请求某些静态数据时,防护节点缓存的数据直接应答,节省源站真实服务器的带宽资源,缓解了源站服务器的压力。
1)天清网站抗DDoS云服务平台在全球部署了近20个高防数据中心,覆盖全球主要运营商线路,并在持续增建和扩容中。单个机房节点出口带宽已达到1.2T。
全网总带宽达5000G,完美解决跨大洲、大区、省份、运营商导致的站点响应慢和用户体验差的网络问题,确保用户业务内容传输更快,服务更稳定。
2)智能DNS服务能实时监测用户接入链路,并将访问请求导向对应链路的抗DDoS云防护节点。
3)识别所有可缓存内容,通过多种自优化技术,高效提升访问能力。
4)智能统计有关数据并动态调整节点的权重,从而引导访问流量,实现流量负载均衡
3.7 云DNS
DNS作为互联网基础服务,是非常脆弱和易被攻击的,天清网站抗DDoS云服务平台DNS服务器集群为了更好的抗DDoS攻击与服务更多的用户,单机可以处理千万级QPS,智能调度DNS,保障域名能解析的可用性和准确性。
3.8 完善的报表支持
针对平台系统网站防护情况,可以为客户提供分析访问量和攻击情况等日常运行情况。为用户提供DDoS攻击防护报表、CC攻击防护报表、Web攻击防护报表以及网站运行业务质量的监控,让用户全面了解网站运营情况。如图下图所示。
图3.8-1 防护情况概览-图
图3.8-2 近24小时流量峰值【接收流量】-图
图3.8-3 近24小时流量峰值【发送流量】-图
图3.8-4 近24小时流量和值【接收流量】-图
图3.8-5 近24小时流量和值【发送流量】-图
图3.8-6近24小时访问数量-图
图3.8-7 WAF概况及TOP排行-图
图3.8-8 WAF详细列表-图
图3.8-9 监控情况统计图表-图
图3.8-10 PING监控状态-图
图3.8-11 DNS监控状态-图
4.1系统访问流程
系统的访问流程如下图所示,Web系统访问者发起的请求通过智能DNS解析后到达就近的云服务节点,该节点对流量进行安全检测,清洗异常流量、阻断网络攻击后,把正常请求流量回源,从源站返回的响应流量再经过防护节点后响应客户请求,以完成正常的访问过程。
4.2网站迁移过程
4.2.1准备工作
收集客户接入的域名信息,根据客户网站情况如实填写2.2.1中《天清网站抗DDoS云服务接入申请表》并反馈给启明星辰对接的工程师,确保信息无误,为后续运维工作提供信息和保障。根据客户提供的网站信息,后台工作人员在抗DDoS云服务平台上做相应配置并验证。
4.2.2 变更DNS解析记录
客户可通过两种方式变更DNS解析记录,一种是修改CNAME记录;一种是更改NS记录。两种方式区别如下:
-
CNAME记录方式接入:用户需要在域名服务商对应域名的CNAME记录进行修改,将待接入天清网站抗DDoS云服务平台的域名修改为平台指定的CNAME记录值,这样客户的域名就可以解析到平台响应防护节点上了。
-
NS记录方式接入:用户需要在域名服务商对应域名的NS记录进行修改。修改NS记录后,该域名所有二级域名解析权限交由天清网站抗DDoS云服务平台智能DNS服务器上。用户以后如果需要变更和查询二级域名信息均需要登录至天清网站抗DDoS云服务平台智能DNS系统。该域名的二级域名如果要添加到天清网站抗DDoS云服务系统,则仍然需要修改对应域名的CNAME记录。
修改完成后可使用https://www.17ce.com/工具测试域名DNS解析状况,CNAME解析生效时间较快,一般3到5分钟生效,全球生效时间最长24小时,NS解析生效时间较慢,一般10到15分钟,全球生效最长72小时,DNS刷新时,所有访问客户web服务器的流量,都会通过DNS指向天清网站抗DDoS云服务节点,节点对异常流量处理后再把正常的流量发送给客户源站。
4.2.3紧急回退
为了避免接入天清网站抗DDoS云服务平台的网站出现访问异常,对客户业务造成严重影响,特拟定紧急回退计划,用于在出现紧急情况时,迅速将客户网站恢复正常访问状态,即登录域名服务商把对应域名记录恢复到之前即可。
4.3 专业安全团队支撑
启明星辰拥有一支掌握先进安全理念和成熟安全技术的安全服务团队,众多拥有CCSK、CISA、CISSP、ISO27001 LA、CISP、CCIE R&S、CCIE Security等专业认证的专家,全国各地具有专业安全服务队伍,有着丰富的安全服务经验,并熟悉用户业务应用和了解安全隐患所在,提供7×24小时系统防护服务,能够为客户提供一站式、管家式服务,人工7×24的电话、邮件等技术支持服务。
5.1 防护节点分布广、防护带宽大
分布在全球的近20个高防数据中心,全网5000G抗DDoS联合防御能力,高达1.2T单节点防护,全球智能调度联防体系可应对超大流量DDoS攻击。
5.2 提升网站运营效率、贴近业务需求
全网总带宽达5000G,完美解决跨大洲、大区、省份、运营商等导致的站点响应慢和用户体验差的网络问题,确保用户业务内容传输更快,服务更稳定。
持续监控各大洲、大区、省份网络性能表现,快速定位业务系统用户体验不理想的区域和省份,及时调整访问节点。
5.3 专业的安全运营团队
天清网站抗DDoS云服务系统由专业成熟的安全运营团队做支撑,有效保障了接入网站的安全运行状况。以及依赖多年来我司在网络安全上积累,直接将丰富的安全能力为接入网站保驾护航。
启明星辰ADLAB成立于1999年,拥有专职研究技术人员20余人,其核心成员在国内、国际网络安全业界具有相当知名度。他们的任务就是专注于网络安全基础性研究,密切跟进国内、国际漏洞机理研究的最新进展,探寻各种操作系统与应用软件的安全性特征,建立全面专业的漏洞库和攻击特征库,提升取证、验证技术水平,模拟出真实的网络环境,为客户提供全面响应服务。
5.4 按需定制、“零部署”、“零维护”
业界首家拥有5000G DDoS防御能力的云服务平台,10~300G防护级别、按需定制、零部署、零维护,保障您的线上业务永续运行。
无需安装任何软硬件,通过配置智能DNS实现云服务;为满足用户数据私有化的需求,可提供专用节点实现独立部署。接入系统平台后,用户只需要关注业务系统本身状态即可。
6.1 增强复杂异常流量的防御能力
通过借助启明星辰天清网站抗DDoS云服务系统平台为接入客户网站提供3T+的复杂异常流量的防护能力。客户在面对复杂异常流量攻击时,无需投入过多的财力物力既能实现量级的防护能力。有效的保障了网站的运营安全以及提升了运营效率。
6.2 专业安全厂商专家贴近客户业务提供保障
将启明星辰专业安全厂商专家作为天清网站抗DDoS云服务系统平台支撑,将安全能力更贴近客户业务。将安全能力输送到最前沿。启明星辰拥有百余人的专业网络攻防团队和运维团队,聚焦用户安全防护能力的提升,提供威胁情报预警、防护能力升级和攻击实时分析、检测、阻断等能力,由最专业的人做最专业事,客户无需再为异常流量清洗安全操心。
6.3 提高业务运维效率,使用灵活
启明星辰提供以SaaS方式的云清洗服务模式,客户按需购买安全服务能力,无需在本地投入人力、物力等资源进行建设和维护,防护架构具有可动态扩容升级的能力,客户可根据防护级别、防护要求和本地系统容量等情况自主选择采购,灵活地增加或消减安全服务能力。
7.1NS修改方式
当客户以NS方式接入天清网站抗DDoS云服务系统时,根据客户提供的《天清网站抗DDoS云服务接入申请表》中信息反馈两条NS记录替换原来的NS记录,例如:n1csns1.dnspig.com 、n1csns2.dnspig.com(以实际提供的NS记录为准)。
7.1.1新网互联注册商域名修改DNS地址
1.登录http://www.xinnet.com 会员中心,点击页面上方的【进入我的账户】。
2.依次点击会员专区上侧导航栏中的【我的产品】。
3.在域名管理页面找到要修改DNS的域名,点击【管理】。
4.打开页面后,点击【域名管理】
5、进入修改 DNS 页面,域名服务器选择为【填写具体信息】,域名服务器名字1和域名服务器名字2分别修改为天清网站抗DDoS云服务系统提供的NS记录。
6、设置完成,请耐心等待 DNS 生效。
7.1.2万网注册商域名修改DNS地址
1.使用万网域名管理账号登录,点击【域名】。
2.选择域名,点击【修改DNS】 。
3.将DNS修改为天清网站抗DDoS云服务系统提供的NS记录。
7.1.3美橙互联注册商域名修改DNS地址
1.登陆域名管理账号,点击域名 。
2.点击修改DNS。
3.把DNS1和DNS2修改成天清网站抗DDoS云服务系统提供的NS记录。
注意:因修改dns的NS记录刷新时间较长,建议晚间修改。因为部分域名注册商每天支持修改dns的次数有限,请尽量一次修改成功。
7.2添加CNAME记录
当客户以CNAME方式接入天清网站抗DDoS云服务系统时,根据客户提供的《天清网站抗DDoS云服务系统防护接入申请表》中信息反馈给客户一条CNAME记录值。
以万网为例:
1、在我的域名下,可以看到当前的域名,点击域名后面的【解析】,如下图所示。
2、转到域名解析页面后,点击添加解析,如下图所示,即添加一条CNAME记录。
3、选择记录类型为CNAME,主机记录输入你的域名前缀就可以了,如www.baidu.com则主机记录输入www。记录值填写天清网站抗DDoS云服务系统反馈给客户的CNAME记录值,点击保存,如下图所示。
注意:添加CANME记录之后,之前的A记录必须删除,解析方式只能留下一种。
7.3域名服务商登录地址
序 |
DNS 服务商 |
URL地址 |
备注 |
1 |
Dnspod |
https://www.dnspod.cn |
|
2 |
万网 |
http://diy.hichina.com/login |
|
3 |
Godaddy |
http://www.godaddy.com |
|
4 |
时代互联 |
http://www.now.cn |
|
5 |
Namecheap |
http://www.namecheap.com/ |
|
6 |
商务中国 |
http://www.bizcn.com/ |
|
7 |
雅虎 |
http://smallbusiness.yahoo.com |
|
8 |
易名中国 |
http://www.ename.net |
|
9 |
35互联 |
http://www.35.com |
|
10 |
琥珀网 |
http://hupo.com/login.php?ref=/ListDomain.php |
|
11 |
Enomcentral |
https://www.enomcentral.com/login.aspx? |
|
12 |
新网 |
http://dcp.xinnet.com/Modules/agent/domain/domain_manage.jsp |
|