VideoX学院 | DDOS向左，WAF向右，出海事半功倍

Cloudflare解决方案工程师张彧杰，发表了主题为《DDOS向左，WAF向右，出海事半功倍》的主题演讲。
 
《2019年网络攻击分析报告》表明，2019年间，全球共发现975491360次攻击，网站攻击尝试量呈总体波动上升且快速增长趋势,仅下半年,网站攻击量增长率已高达59%,攻击类型也呈现了多样化分布但流量局部集中的趋势。
 
为了有效解决网络攻击，保护网站安全，4月22日，众视网LIVE VideoX学院邀请了Cloudflare解决方案工程师张彧杰，发表了主题为《DDOS向左，WAF向右，出海事半功倍》的主题演讲。
 
Cloudflare公司被世界经济论坛评为技术先驱，华尔街日报曾评论其是两年来最具有创新性的网络和互联网技术公司，被《Fast Company》（快速公司）评为全球五十家最具创新性的公司之一，是全球网络安全行业的明星企业。
 
张彧杰作为Cloudflare的解决方案工程师，肩负保卫网络安全的重任，对如何应对网络攻击颇有心得。
 
根据Cloudflare遍布全球的网络节点数据分析得知，2019年第三季度，Cloudflare针对2500万个互联网资产每天阻止网络威胁720亿次，平均而言，每个资产每天都可能会面临3000次的安全威胁。
 
随着5G和物联网的发展，互联网规模将不断扩大，随着而来的安全隐患也会越来越多。张彧杰表示，当代社会，三大现实因素导致网络极易受到威胁。  
三大因素导致隐私泄露，威胁网络安全
 
1、随着“互联网+”的发展，更多公共API比如说共享单车、快递查询、出行等接口和系统转移到云端，用户身份认证的门槛越来越低，现在的情况就是任意APP都需要电话号码甚至是身份证登录才能启动。  
从数据看来，暴露在公网上的APP交互数据呈现指数级的增长，使客户收到更大的攻击风险。
 
2、更强大、更复杂的攻击出现了。早在2016年的时候，一个非常有名的叫“无敌舰队”的黑客组织出现了，声称可以进行1Tb的DDOS攻击，这种级别的攻击是任何企业都不可能通过自身的带宽进行抵御。
 
3、政府和媒体对数据更严格的审查。坐车、银行、买票等行为都需要输入自己的身份证和支付密码等私密信息，而每一次这样的行为都多一份暴露的风险。
 
万物互联的时代里，信息暴露越来越频繁，网络攻击对象越来越多，网络威胁便会越来越大。
 
张彧杰指出，当代遇到的攻击，不再是单一的攻击手段，往往都是组合的攻击，组合攻击更加复杂、更加立体，对于网络安全的防护要求也会越来越高。
 
网络攻击的三大类型
 
张彧杰表示，现代网络攻击主要有3种类型。
 
张彧杰表示，客户的安全威胁来自于三大攻击——DDOS攻击、机器人攻击、带有漏洞的应用程序和API攻击。他们有各自的攻击对象、手段和目的，让企业防不胜防。
 
DDoS攻击  
DDoS攻击流量，主要是为了降低应用程序、网站和API的可用性和性能。DDoS攻击流量分为三大类：大规模DNS洪水攻击、DNS放大攻击以及ATTO洪水攻击。
 
DNS洪水攻击——DNS洪水攻击是一种拒绝服务攻击。这是网络资源或机器上的流量停止一段时间的过程。
 
攻击者向资源或机器发送大量请求，以使可以访问它的人无法访问。在DNS泛洪期间，由于流量过载，连接到Internet的主机会中断。网页不断显示403、404错误以及无法打开页面的提示。它可以被称为中断，通过不允许流量降落在其上而导致资源或机器的工作停止。
 
DNS放大攻击——这种攻击比洪水攻击更高级一点，对于黑客来讲更省力。
 
放大攻击是攻击者利用开放式DNS解析器的功能，用小的请求欺骗服务器给出大量的解析，不断地发出相同的请求，让服务器的反馈将带宽占满，让网络基础架构不堪重负，从而导致服务中断。
 
HTTP洪水攻击——从表面上看ATTP洪水攻击与大规模DNS洪水攻击相似，但是发生在第七层应用层上，应用层有着各种应用程序协议，如HTTP、FTP、SMTP、POP3等。
 
在此层面上进行洪水攻击，或者爬虫暴力破解，让目标网站应接不暇。
 
DDoS攻击在这几年的规模呈现指数级增长。传统的DDoS攻击防护是采用一层防护更比一层强的理念，第七层最高可达到1Tbps，相对第六、第五层会比1Tbps低。传统的DDoS保护方法完全无法阻止现有的DDoS攻击，只要攻破防护最为强劲、复杂的第七层，后面的防护便可土崩瓦解。
 
机器人攻击  
机器人攻击最常见的就是爬虫，特别是电商行业，深受其扰。竞争对手可能会通过爬虫技术将价格爬下来，然后对比自己的商品价格进行恶意竞争。
 
机器人还可窃取网站上的公共信息，如价格或者有价值的SEO内容；可自动完成库存购买且转售，让原网站商品和客户无法接触；还能自动填充凭证，不断的接管账户，从而滥用网站，完成欺诈交易，窃取敏感数据或损坏个人信息。
 
可怕的是，机器人的速度确实比人类的操作速度要快得多，用户还需要点击鼠标或者输入一些键盘信息才能做到的事情，机器人完全用不着。如果黑客还掌握了僵尸网络的话，攻击者不仅可以占用用户网络上更多的资源，而且成功率会大大提高。
 
所以，智能机器人攻击更容易对业务产生更大的影响。
 
应用程序和API攻击  
带有漏洞的应用程序和API攻击，是利用系统的一些漏洞进行一个勒索的程序。目的并非是要打瘫这个网站，而是为了抓取有用或者私密的用户信息。
 
这有4种攻击方式——DNS欺骗、数据窥探、暴力攻击和恶意泄露。
 
DNS欺骗——DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。攻击者冒充域名服务器，然后把用户需要查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替。
 
这样的话，用户上网的所有信息，都将暴露在假网站上，攻击者将利用这些信息盈利。
 
数据窥探——顾名思义就是在访问者访问消息时会访问者的信息进行窥探和记录。
 
另外，暴力攻击和恶意泄露也在不断的困扰着客户。近几年，DDoS 攻击有了全新的大规模攻击方式，以瘫痪网络 ，这些攻击似乎是来自物联网僵尸网络（比如 Mirai 等等），这个僵尸网络之前曾经发起过针对 Brian Krebs 的大规模攻击。
 
除此之外，张彧杰表示，现在很多人都没有注意到物联网攻击这一块，物联网设备很容易被攻击者控制，很多攻击可以通过操纵物联网设备直接盗取信息，未来物联网设备安全也会成为网络安全的一部分。
 
因为物联网虽然兴起没有几年，但发展特别快，给了攻击者一个可乘之机。在2016年的时候，已经出现了大批物联网僵尸摄像头席卷事件，所以物联网安全这块将来会是网络安全的一个重点。
 
张彧杰表示，按照如今互联网媒体对于信息的传播速度，网络攻击成功对于企业的品牌影响和经济影响都非常巨大。只要有一次攻击成功了，企业就需要花费多于攻击成本的几十倍、几百倍的金钱才能恢复。
 
根据调查数据显示，每小时由于基础架构故障造成损失有十万美元，数据泄露的平均总成本达到了362万美元。
 
然而，根据报道，这些泄漏的数据在暗网的售价非常低，只有零点零零零几个比特币。这说明攻击成本实际非常之低。但却对企业造成了巨额成本损失和不计数的信任危机。
 
Cloudflare应对策略
 
面对无可避免的网络攻击，Cloudflare采用分层防御的方式抵抗更为复杂的攻击者。  
在防DDoS攻击上，Cloudflare六大方式，全面保护网络安全：
 
保持联机——利用全球超过180多个数据中心的全球 anycast network，吸收了大量分布式攻击流量，令客户可以保持联机状态 ；
 
保护源站基础设施——检测并缓解边缘处的大规模攻击，主要是第3和第4层、DNS和第7层；
 
识别异常流量——指纹识别 HTTP 请求，通过自动缓解规则保护网站免遭已知和新生的僵尸网络；
 
预测攻击——跨 600 万个网站的共享情报用于主动阻止已知的攻击特征；
 
通过控制保护应用程序——Rate Limiting 提供更好的精细控制，可阻止难以检测的应用程序层攻击；
 
阻止源站攻击——Argo Tunnel 可在源站和Cloudflflare 最近的数据中心之间创建一个直接的加密隧道，从而保护原 Web 服务器免受目标攻击。
 
在应用程序和API攻击上，Cloudflare对4大攻击方式实现一对一防护  
针对通过各种形式和 API 注入恶意负载的攻击，Cloudflare通过WAF组织热门OWASP和新生的应用程序级攻击。
 
针对窥探客户输入未经机密的敏感数据攻击，Cloudflare通过SSL/TLS进行加密组织窥探。
 
针对以暴力方式攻破登录页面的行为，Cloudflare通过Rate Limiting提供登录保护。
 
针对攻击者伪造DNS信息来拦截客户凭据的行为，Cloudflare可通过DNS和DNSSEC阻止伪造的信息。
 
Cloudflare保护端对端流量，提供分层防御，可通过文件配置选项实现高精度拒绝服务保护；避免敏感客户信息遭受暴力登陆攻击；避免API被滥用，确保API的可用性；避免因流量峰值或攻击面产生不可预测的成本。