“高防云论坛”围绕高防CDN和高防云平台等议题,探讨网络信息安全大背景下的高防云平台的建设。出席本次圆桌论坛的有:北京椒图科技有限公司VP李栋、360安域产品研发经理王枭卿、网易信息安全部技术总监沈明星、知道创宇安全顾问魏雅楠。
网易沈明星:打造云清洗防护中心,CDN与安防优势互补。
沈明星介绍说,网易正在搭建一个云的清洗防护中心,涉及到一些关键指标,就是像用户非常关键延时,必然会在选择高防节点的时候,靠近自己的云和终端用户。这样做,能够更多的去减少网络上的延迟,来保证用户体验。沈明星同时表示,网易目前比较关注资源的隔离,因为一个云抗D的平台或者一个清洗中心必然会接入大量的用户。怎么样保证各个用户之间的业务是个难题,比如说某个用户被攻击会不会影响到其他用户等。为此,网易云易盾真正的做到了“隔离源头”。他们会每一个用户高防IP都会有一个独立的定程,会做到一个自觉的隔离,在网络上用户购买这个套餐,网易会直接把IP直接拉黑,保证网易整个平台的安全。
当被问到在如何抗击DDoS和CC的攻击时,沈明星认为最重要的是工作经验和显示对抗的角度。抗D这一块是对资源,出口带宽一定要大,自己设备一定要多,这个纯粹就是简单粗暴,没有资源根本抗不住。针对CC攻击就是绵里藏针的一些攻击,更多的是比拼技术,和数据的积累,防CC的时候必然需要用户的数据模型,需要信誉库,像阿里和游戏盾这些也会用到一系列的技术。
而对于当下,越来越多的CDN企业开始与安防企业进行合作。沈明星认为,CDN和安防本身就存在着一些互补的优势。CDN的流量是进少出多,DDoS就是进多出少。国内几家CDN厂商,像网宿他们也做这块业务的,CDN厂商也是看到了这块的契机的,他们也是想做一些高防的节点,跟CDN结合DDoS防护的能力。业务设计会把JS图片直接放在CDN节点上,这就不需要回源到原件上的,这种攻击更多影响是CDN本身的业务。沈明星认为,从这个角度而言CDN的厂商对于保护自身而言也有防御工具的需求。
360王枭卿:360度无死角的防护,CDN如何与高防云配合无间?
当被问到“抗DDoS和抗CC攻击中,最关键的是什么”时,王枭卿认为是资源。当600G到700G的攻击直接打到一个地方,你的节点或者IDC出口带宽如果小于这个数的话,基本上就是就没法运作。运营商IDC方面的话,一般会采取的做法就是为了不影响其他业务而自保,直接把你的节点服务IP丢进黑洞,解封完一般需要两到三个小时。如果所有节点都在这个规模以下,要么就是全面挂掉,要么放弃对客户的防护,就这两种结果。这就是高防存在的原因,节点多做服务式的防护是一个优势,劣势就是DNS的调度,攻击流量不一定跟的上,直接打节点的服务IP或者网端,这个我们都遇到过,单节点带宽至少就是对外部就是成为承诺防护能力的话,承诺500G的话,最好是有500G以上的节点,如果攻击打到一个点确实承受不住。
王枭卿认为,本身防护系统的灵活性也能在很大程度上影响到抗DDoS的能力。 其次大家都知道的问题,就是次之的一些问题,比如说规则策略的攻击性,DDoS是对抗性很强的攻击,比如说防控住之后,过个两三分钟,四五分钟,攻击者那边就停了、调整攻击的方式重新打,如果系统能够自动判断最好的,但当出现系统不行的场景,这样就需要认为介入,去配置去调整,那么你本身的防护系统的灵活性就包括你策略配置的灵活性有多高,直接决定了你的防护相应的延迟还有效果,这是对于在这种抗D和CC里非常重要的两个地方。
对于CDN与高防相结合。王枭卿认为,CDN就是分布式的存储,高防用分布式的方法来做,其实的确具有更高的防护能力。确实就是说现在有很多的CDN的厂家,那么就是说无论推出这个服务,还是被动的提供客户,本身中间CDN就有IP隐藏的作用,估计会得到CDN节点上,有一些CDN公司把这些东西作为服务推出来了。
他认为对于CDN客户来说,在比较早的时候,一般都会写一些做好防护的承诺,不做保证,如果像攻击量不大,CDN检测这一方也发现不了,这个时候就相当于默默用户去承受的,量大的话,CDN公司,本身在这摆着了,客户一个是复杂值还没有那么高,只是一个商业行为,同时的话也是会大量对于其他正常的用户和业务的服务的话,可能会采用一些回源的措施,但无论如何,只要在自己能力范围以内,其实如果把这个东西作为一项增值服务给客户,也会让你的CDN节点更加有生机、
椒图科技VP 李栋:资源相互整合,CC攻击三重奏如何抵抗?
李栋认为,未来抗C或者抗D的重点是数据的共享,因为每家的资源都是有限的,云锁差不多有100万的装机量,资源相互整合,通过相关的提升,来抵抗这种能力。
李栋指出,与DDoS攻击不同,CC攻击主要是对服务器的内存等占用,CC攻击的攻击原理比较简单,通过用一个IP向服务器发起数据库请求,在短时间内占用大量的CPU包括内存的资源。常规的防CC攻击有四种,一个是硬件WAF,它现在是大企业的标配,优点是部署非常方便,本身是用硬件方式交付,吞吐量比较高,但缺点是价格昂贵,对于中小企业来说应该是难以负担的。另外,硬件WAF需要明确的网络边界,不适合云环境。椒图之前遇到一个用户购买大量的硬件,在把业务迁移到云上,又重新数据库,过滤之后再接到里面,这种做法效率比较低。
椒图抗CC攻击产品有三重模式,第一种模式是计数,通过看请求次数,用户可以根据业务的实际情况进行一个调整,然后中间是一个反向验证,这个是高低模式,比较常用的模式。当CC攻击发生之后,会有一个攻击溯源,即攻击发起包括攻击的页面,给使用者修复漏洞一个依据。
知道创宇魏雅楠:军工级的高防,首要资源是关键,能否跟踪并追查溯源?
魏雅楠认为,对于CC和DDos攻击的首要资源很重要,从攻防角度上也要进行实时的跟踪,在日后追查溯源的时候能不能找到这个作恶者,魏雅楠认为高防就像军工,大型的行业,单纯的打抗D只是终止业务终端,如果敲诈的话,溯源就会起到作用,在抗击日志里查查还是非常重要的。
溯源,魏雅楠认为现在业内没有哪家产品就是可以在很快速的在分钟级或者分钟级别内把源头抓到。她觉得,安全工程师安全工作经验是其中非常重要的一点,他们之前有过一个客户是因为被攻击了,也是攻击者有马甲作案,但他们的安全工程师非常有经验,通过各个方面探查这个问题到底出在哪里,最后一步一步的找到了恶意攻击者,这样整个分析过程下来也是在小时级别的,同样她相信,随着未来的科学技术发展,是可以达到相同的目的和效果的。
最后,对于未来安防领域的发展和知道创宇所做的贡献,魏雅楠谈到,当前许多企业都已经开始意识到各类网络攻击对企业的危害,但一直苦于无法解决,企业的安全问题已经成了企业运作的一大痛点。而其中最严重的要数信息泄露、入侵被黑、流量劫持、黑色暗链四大安全问题。针对这些问题,企业应当如何解决呢?”魏雅楠分析到:“保护企业网站业务安全运行生命周期可以通过KSA渗透测试从保护、检测、修复三方面形成闭环,从业务系统渗透挖掘高级威胁防御,从而进行积极防御,最后针对企业提出安全管理建议。”
为您推荐
DVBCN讯2011年6月7日-8日白玉兰国际广播影视技术论坛(IBTC)在上海大宁福朋喜来登集团酒店举行。IBTC2011是第17届上海电视节的重要学术活动之一。本届论坛将围绕“云技术与广电三网融合”这一主题,展开全国性的、权威性的研讨。DVBCN数字电视中文网作为本届论坛的独家支持媒体将对“IBTC2011”进行全程播报。点击进入专题在本届IBTC2011“云技术与广电三网融合”论坛上,北京蓝汛通信技术有限责任公司CEO王松发表演讲的主题为《CDN与CLOUD云服务在广电三网融合背景下的应用》。
近日,艾肯家电网签约国内知名的CDN网站加速服务提供商北京快网,北京快网将为艾肯家电网提供提全站CDN加速服务。记者了解到,目前国内比较大的门户网站为现实网站的高速访问,早已使用了CDN网络加速。目前,包括腾讯、新浪、搜狐、网易、酷六、红袖添香等众多网站都采用了北京快网的CDN网络加速服务这一服务。据《中国互联网年度综合报告2009-2011》数据显示,预计至2011年互联网市场规模将达到1300亿,互联网总用户数将达到6亿。网民数量的持续提升同时也让互联网服务发展如火如荼,视频、SNS、垂直网站等新兴网站层出不穷,在带来全新商机的同时,也让互联网带宽、服务器等资源捉襟见肘。而CDN服务提供商
目前有30多人的技术团队和10多人的运营团队。手机电视两种不同的运营思路中国移动有个手机视频的客户端,这个客户端本人曾经体验过,对这个产品的感觉并不好,这个软件走的是中国移动WAP的网络,是运营商的网络,其目的就是想把用户固定在自己的网络上,不断的推出自己的服务,增加自己的粘附性。而且最让用户郁闷的是当有WiFi时并不能使用,而且对于那些3G用户来说同样不能使用。手机电视采用的是互联网的方式,国外的用户只要有网络同样可以观看。如果用户对流量费用有顾忌的话,可以选择在无线的情况下观看,非常的方便。据张总介绍,手机电视完全采用的是互联网的方式,用户任意选择登陆的网络,
9月29日消息,据国外媒体报道,雅虎董事会成员、国际上最大的CDN服务商Akamai总裁大卫·肯尼(DavidKenny)公开表示有意竞选雅虎CEO。国际上最大的CDN服务商Akamai总裁大卫·肯尼知情人士透露,肯尼目前还在管理Akamai的业务,但确定要公开竞选雅虎CEO。该人认为,肯尼对雅虎内部发生的一切非常清楚,知道自己在干什么。昨天,肯尼曾与雅虎产品团队工作人员进行数小时长谈。近日,他还曾与包括私募公司在内的雅虎投资方、股东交换了意见。某科技媒体认为,肯尼适宜担
