如何优化公有云DDoS基础防护算法

bt0sea 业务安全 2018年2月15日发布

导语:目前各个公有云厂商都会在自己的控制台上集成DDoS基础防护产品,根据竞品调研,目前在算法方面做优化最多的是阿里云,今天想和大家聊聊如何根据获取到的攻击数据,来动态分配防御资源。

0x00、前言

目前各个公有云厂商都会在自己的控制台上集成DDoS基础防护产品,根据竞品调研,目前在算法方面做优化最多的是阿里云,今天想和大家聊聊如何根据获取到的攻击数据,来动态分配防御资源。

0x01、需求分析

世界上从来没有无缘无故的爱也没有无缘无故的恨,做这个功能都是有原因的。面对阿里这么大体量的公有云公司,在几十个数据中心部署免费的防御资源,需要大量的资金投入。

@1、业务需求点

· 公有云建设初期,对外提供服务,黑客对线上服务进行DDoS,会影响公有云运行的稳定性,进而导致云上租户对公有云服务的连续性质疑,应用公有云业绩收入。

· 由于公有云很多底层资源都是共享的,包括带宽、物理机等。A用户被攻击有可能影响整个集群的稳定性,可能B、C、D。。。等很多用户被影响。

· 基础DDoS产品无盈利,公司需要通过技术手段降低成本。

@2、解决方案成本

我们先算一笔经济账,假设阿里在北上广BGP和静态单线机房30个AZ节点,每个机房带宽在100G。

方案一:使用全流量方式探测。

· 检测部分

按照目前技术水平一台服务器3万左右的服务器能处理40G的流量。那需要,3(每个机房)*30(机房数)= 90台服务器。

· 阻断部分

也分两种,第一种是在本地部署黑洞本地处理,资源在自己手中策略调整灵活度大,但是对数据中心有一定的风险性(流量已经进入到本地路由)。第二种是和上联运营商做自动化路由黑洞处理,但是黑洞IP数量有限制。资源可以复用检测部分使用的资源。

方案二、使用Netflow流探测的方式。

这种解决方案硬件投入性价比是最高的。一个数据中心一台服务器就能满足需求,但是目前市面的商业解决方案无法满足业务需求,需要投入研发人员做开发。

从上面的成本和技术要求评估:第一种方案全流量方式,黑洞本地处理同时配合上层运营商封禁。

0x02、业务优化流程

业务拓扑

                                             

1.png

业务流程

11.png

那么我们的优化重点是定义基础防护产品好坏的指标是,黑洞阈值大小、黑洞回复时长。

· 输入的