12月12日,全球首个探讨产业互联网的大型会议,2014 CVW产业互联网大会在北京亦庄召开,并通过纽约时代广场大屏幕同步呈现。大会由亚信集团、云基地和亦庄经济技术开发区联合举办,汇聚超过5000名关注互联网和传统产业发展的全球IT和传统行业领袖和精英,探讨“互联网进入传统行业”、“传统行业互联网化”的演进以及产业互联网的技术模式和业务创新。
在下午的“网络安全@互联网”主题论坛上,中国电信SOC中心主任刘紫千做了《2D困局、运营商的机会》的主题演讲。
刘紫千
博士,高级工程师,CISSP,加州大学圣迭戈分校互联网数据分析协作组织(CAIDA)访问学者。现任中国电信集团网络安全操作中心(SOC)主任,中国通信企业协会通信网络安全专业委员会委员。致力于重大互联网安全事件的应急处置、技术手段的搭建与安全产品创新,云堤团队负责人。
以下为演讲实录,大数据文摘整理,转载需注明出处。
朋友们,下午好!今天我讲2D,不是2D电影,不是二维平面,而是指DDoS和DNS,看看这两个兄弟在互联演绎出了什么精彩?
此次大会的主题是产业互联网,我认为任何产业、产业中的具体企业,只要联网,都会面临DDoS。什么是DDoS,简单科普一下,DDoS是DoS的衍生品,先说DoS,这里不是指操作系统,而是Denial of Service的英文缩写。我将DoS攻击归为两种主要形态,流量型攻击和应用型攻击, 简单说流量型攻击就是用足够多的垃圾流量挤占阻塞用户的联网带宽使得正常数据包无法通过,应用型攻击就是构造一些特定的访问请求以消耗攻击对象的服务和计算资源,当然两种形态可以并发,目的都是使攻击对象无法对正常的业务请求进行响应,即所谓的拒绝服务。如果这种攻击来自四面八方,攻击源头很多很分散,也就是Distributed, 那么就是分布式拒绝服务攻击了。
事实上,企业将自己的网站或其他平台放在网上,只要联网就完全可能遭受攻击,当然如果你的应用和服务是直接开放在互联网上,你面临的风险会成倍的增长,互联网上成千上万甚至几十万的被黑客远程控制的存在安全漏洞机器,我们称之为“肉机”或者僵尸网络,都有可能向你企业的网站和网络服务平台发送恶意数据包,轻而易举的耗尽你网络接入带宽资源和计算服务资源。特别是,当商业竞争非常激烈时,你的对手极有可能利用另外一条产业链,及地下的黑客产业链,对你发起凶猛的恶意网络攻击,那么,到底有凶险?我们来看接下来的这张图。
这个图是2013年1月到2014年11月份接近2年时间段中国电信监测到的全网网络攻击情况。图中每一个柱子的高低代表这个月份我们监测到的攻击总量volume,是一个累计的绝对值,单位是Tbyte,不是流速rate.
很明显,两年时间里中国电信可监控范围内的互联网攻击规模整体是在往上涨的。刚刚过去的11月,是过去两年中单月攻击量最高的,已经创纪录的超过了2万TByte,这相当于网络上平均每秒产生高达3700G bit之巨的攻击流量。如果以一个典型宽带家庭用户接入带宽10M来做比喻,相当于有37万台机器在同时发起攻击!每一个柱子有三段,用三种颜色区分,其中,绿色代表攻击源头在中国电信网内,红色代表源头在国内其他兄弟运营商,比如联通、移动、教育网等,蓝色代表攻击从境外国际的互联网运营商或境外用户发起。也就是说,每一段颜色的长短代表该源头发起的攻击量占到总攻击量的百分比多少。以2014年11月份的比例来举例,如果电信网内一个用户被打了10G的攻击流量,那么源自电信网内的攻击流量有3.5G,从国内其他兄弟运营商产生了接近3G的流量,还有4G的是从境外打过来的,主要是北美、香港、欧洲等,也就是说近7成流量是从其他网络打到中国电信网内的。
在攻击流量整体增大的趋势中,有一个明显的下凹 是在2013年11月,原因是红色对应从国内其他运营商进入电信的攻击总量下降明显(稍后解释原因)。但是蓝色,国际过来的流量总体趋势一直很凶,而纯电信网内源发的攻击占比一直在3成上下,比较稳定。为什么电信网内源发攻击规模较小?我带领的SOC团队从12年2季度开始持续近一年做一件事情,就是压缩网内互联网虚假原地址的流量。什么意思?大家知道发生DDoS攻击的时候,源IP地址是可以仿冒的。如果仿冒IP地址的流量在互联网上大行其道,你就很难追踪定位攻击从哪里发起。特别是对终端用户,你看到一个攻击包的源IP是你家隔壁邻居的,对不起,这个IP很可能是仿冒的。你想定位源头很难,除非骨干网运营商介入。我们开始做这个事情之前,国内虚假流量占国内互联网总流量的4%到5%,最高到7%,中国电信现在互联网峰值流量在100Tbps量级,可见即便是百分之几的绝对量也非常巨大。通过持续努力,我们将这种对虚假源地址流量的控制不断推向网络边缘推向用户接入层,从源头卡主,现在电信网内的虚假源地址流量只占到互联网总流量的千分之一。后来做了这个事情被工信部推广到国内其他兄弟运营商,联通积极跟进,在13〜14年之交取得了非常明显的成效,对应了刚才说的红色段落的缩小。大家知道,对作恶的人来说,最宝贵的资源是肉机,肉机资源可以拿来卖,如果被运营商准确溯源定位后肉机不存在了,地下黑客产业会受影响。也正是国内运营商齐心用力,现在很多肉机都跑到境外的IDC中,逃避监管,所以蓝色的段落越来越大。
我们现在骨干网检测到的攻击,每天大概六百到八百次,有时候会超过一千次。其中TCP
SYN 攻击是主流,占到约六成。DNS的攻击占比百分之三点多,虽然占比少,但是它的危害一点都不小,稍后我们将谈到。
其次,60%的攻击持续时间小于30分钟,是比较短的,但是一个重尾效应是超过六个小时的攻击也有将近6%。12月10号开始的这次DNS攻击,持续时间超过1天半,这是我见到的持续时间最长的DNS攻击。
刚才看到了攻击的总量规模,现在我们看看单次攻击量到底有多大。这张图显示从2014年6月份到11月份的6个月当中单次攻击的峰值统计,近62%的攻击小于10Gbps,80%的攻击峰值在30Gbps以内。我知道很多企业都有防火墙、IPS,有实力一点的可能还有专用的流量清洗设备。但是,在我看来,低于10Gbps防护能力的设备已经不能算真正的抗DDoS设备了。如果你遭受的攻击只是几百兆,一两个G,那么证明你还不够火,还没有被真正的盯上。请注意这组数据,大于40G的攻击一个月有一千六百多次,超过100G的每月158次,大于200G的攻击也有月均14次!这是什么概念?熟悉IDC的朋友们可能知道,一个典型的IDC可能也就几百G带宽,超过100G以上的攻击会导致整个IDC内部的多家用户网络瘫痪。而这种量级和频度的攻击,放到任何一家企业显然更是吃不消的。
大规模的DDoS攻击会阻塞带宽,给我们的客户带来很大的麻烦,这就是运营商的困惑,那么我们的机会在哪?首先,我想强调任何在靠近防护目标实施的DDoS防护,我称其为“近目的防护”,在抵抗大流量攻击的时候都是徒劳,因为出口带宽是受限的,一般企业也不可能愿意花大价钱购买常态下用不了的带宽。比如,尽管你购买了一个号称10G能力攻击防护设备,但是你的出口带宽只有100M,1G,你的入口已经堵死,任你有再大的本事也施展不开。中国电信作为国内最大的骨干网运营商,有无法比拟的网络资源优势,我们推出了一项专门为传统企业客户和互联网公司防护DDoS攻击的产品,叫做“云堤”,拥有T级即1000G以上的DDoS攻击防护能力,不做广告了,来说说我们是怎么做的。
我讲一个概念叫“近源防护”,原理如图,假设江苏南京的客户被DDoS攻击,攻击源头来自四面八方,如红线所示。我们在电信全网分布式部署了很多攻击防护节点,所有的节点同步工作,可以将攻击流量在最靠近发起源的位置被牵引到这些节点中,将恶意流量处理干净后,再将正常的流量(如绿色所示)传回南京的客户。这里有些项技术,比如BGPAnycast是只有骨干网运营商才有条件使用的。简单说,我们其实是在用骨干网的超大带宽帮助客户吸纳海量的攻击流量,先巧妙的吸纳进来,分而治之,再送达客户侧。相比而言,如果在单点来做防护,单点的网络资源有限,攻击流量汇聚在目的端,你是无法抵挡那些大规模攻击的。
讲完了第一个D,我来说说第二个D,即互联网域名解析服务。DNS是互联网的最为关键的基础设施,主要提供域名和IP地址的映射查询,因为域名方便人类记忆,IP地址里的数字和格式方便计算处理。域名系统扮演了一个互联网指路人的角色,它告诉所有的应用该去哪里。因此,DNS是一个入口,对这个入口的争夺也正在上演。早年见,国内只有基础运营商提供域名解析服务,现在BAT和其他一些互联网公司都在逐渐架设自己的DNS解析服务,为什么,怕被对手“牵着鼻子走”,导致自己的流量下降,访问被欺骗等等。我们最新统计的数据表明,中国电信的互联网用户使用电信提供的DNS解析服务的仍为主流,占比84%。
在余下的流量中,第一位是谷歌DNS,其次是360DNS和114DNS不分伯仲,阿里和百度也有自己的开放DNS解析服务,但流量很小。
人人都想争夺这个域名解析的入口,可是如果有人不守规矩乱来就危险了。这是SOC在2013年二季度遇到的真实案例,有黑客利用CRSF的方式篡改了大量家用宽带路由器DHCP中的配置指向,如图所示,那么之后用户所有的域名解析查询流量没有去到正规的DNS服务器解析,而是被黑客劫持到了一个恶意的解析服务器上去。后续用户的所有互联网访问,比如当访问网银、网购网站、邮箱时很可能被指向一个伪造的页面,你的账号密码会被记录,造成个人财产损失和信息泄露,危害是非常大的。
为了解决这个问题,我们在电信网内搭建了一套警示服务节点,将被黑客劫持的DNS流量重新牵引到我们的警示服务节点,同时,我们联合BAT,当受感染用户请求QQ空间、淘宝主页或百度主页的域名时,将解析IP地址应答记录改为我们的自助服务网站,随后用户就能在浏览器中看到醒目的警示提醒,用户点击修复后我们将用户家用宽带路由器的DHCP配置擦写成全0,并提示重启设备后,即可再次从运营商ASDL Modem分配到正确的DNS配置。后来新浪知道此事,也提供新浪邮箱的域名,加入我们这个行动。通过这种方法,我们帮助国内近千万用户修复了DNS配置!这个案例我个人非常骄傲,是一个很成功的跨行业的合作,既保护了众多网民的利益,也维护了运营商和互联网公司的利益,多赢。很多媒体都进行了积极的报道。
这张片子中我列出了关于DNS的几点困惑。因为时间关系,我只重点谈最后一个,关于开放解析器的问题。开放解析器是英文的Open Resolver的直译,这些解析器对外提供DNS解析功能,它们在互联网上广泛存在,但很多时候我们却无法知道它们到底归谁负责,因此很不可控,甚至一些你意想不到的设备居然也具备DNS解析功能!两天前这个案例折磨我到凌晨三点才睡,就是和开放解析器有关。
这是全网的DNS流量图,12月10号,早上4点56分,流量监控显示出第一个明显的尖峰,但持续时间不长,不到一个小时就过去了。但是10点56的时候,这个尖峰再次出现,引起我们注意,并在之后很长一段时间间歇性的突发。流量大到什么程度?这里有两个数字。中国电信所有的DNS服务器,那一时刻收到的PPS(因为对于DNS来说最重要是PPS就是每秒的应用解析清请求QPS)有将近一千万(浅蓝色)。整个电信互联网上有多少请求呢?一亿五千万QPS(深蓝色)。它已经远远超过国内现在DNS服务器正常解析峰值的20倍!细心的朋友们还会发现,怎么深蓝区域比浅蓝区域量要大这么多,貌似与之前提到的电信自己官方DNS解析流量占84%相矛盾吗?我的回答是,之前的84%只是在知名的几家DNS解析服务提供商之间的比较电信占大头,但放在整个互联网上,还有千千万的小解析器我们没有纳入比较。但这个图恰恰说明这些无名的开放解析器产生的流量要远超我们知道的可控DNS服务器流量。这些开放的解析器,今天这个说提供解析,明天可能就消失了,后天又出来了,这两个群体的量差非常明显。
那么,到底什么原因引起的流量异常呢?12号凌晨我们拿到了两份蠕虫样本,分析了以后很吃惊。因为它们都是嵌入式系统上的蠕虫,一个在摄像头上,一个在光猫上,都是基于ARM的,经过DNS反射或者自发DNS流量,一个连接公网的摄像头居然可以稳定的发出10Mbps的DNS查询!进一步分析,蠕虫的控制端都在境外,在北美一个大型的CDN服务提供商网内。所有的这些开放解析器都被利用向某些特定域名发起递归攻击。
好像故事到此结束,一个俗套的结尾,大量的用户自购设备存在隐患,运营商控制不了。我想说,在整个产业链中,我们运营商只是一个中间的环节,通信设备制造商的末端还有很多小型设备,不光是骨干网这种大路由器,也不是企业级设备,可能是很小的东西,就是家里一个小东西,可能存在及其危险的安全漏洞,被人利用。以后家里所有的东西都带联网的智能,都有可能被黑客攻击利用,不是危言耸听,这一天已经来到了。
总结一下我今天的内容,第一点,DDoS安全防护和DNS安全防护是产业互联网化进程中无法避的问题。任何一个企业你想利用互联网服务你的客户,这两个问题都逃不了。有人说,DDoS我理解,DNS怎么理解?因为你企业要用网站要有域名啊,你申请了域名,这域名所在的权威服务器就很有可能被人攻击。刚才我举的这个DNS攻击案例,它针对的就是一款知名挖矿游戏的服务提供商,因为竞争对手的不爽而发起了针对该游戏服务提供商使用的权威域名托管设施的攻击。如果你的企业参与商业竞争,你的竞争对手在正面战场打败不了你,那么他就要用其他方式打你,比如从网络上。
第二点,运营商有两个核心两个资源,一个是网络资源,另一个是政企客户资源,真正的网络资源只有骨干网运营商具备,这是我们后续安全服务和产品布放的独特竞争优势。
第三点,运营商扮演着产业链当中一环,购买和使用上游的设备制造商和商业伙伴提供的手段为我们下游的客户和大众提供服务,把整个生态环境搭建好,把安全产品的和其他各种服务的蛋糕做大。
我特别想提醒,如果在产业联盟上有做家庭网关,做智能小家电的设备的企业,他们在产品研发中可能很少关注产品软件代码层面的安全问题,那么这些软件其实更容易被植入一些恶意特征,因为它相对小众化,更不被人注意。
这里我发出一个号召,希望产业界充分联动起来,一起为我们的企业互联网化进程和普罗大众提供一个更加安全放心的联网环境。虽然有各种纷繁芜杂的困扰,但只要掌握了规律,扬长避短,我们的机会就在其中,大家任重道远。
附:全球DNS流量异常,家用智能设备肉鸡群攻击
摘自:新浪微博 @云堤抗D
前日起(12月10日)全球互联网范围DNS流量异常。云堤团队(DamDDoS)迅速参与分析处置。本次事件攻击自12月10日凌晨起至今仍在持续,为近年来持续时间最长的DNS DDoS攻击,目前已监测到的攻击最大流量近1亿Qps,(约合76.38Gbps)
经过攻击溯源的精细分析,云堤团队(DamDDoS)发现:本次攻击方式较为传统,是典型的DNS递归攻击,使用随机域名Flood对某游戏服务提供商的权威域名服务器进行攻击,疑似与minecraft有关,同时连带众多DNS递归服务器流量异常(包括Google、114及运营商的DNS)。但特别的是:攻击流量随时段波动很大,持续时间极长;发起源头十分特殊,不是普通的PC机和服务器,而是使用嵌入系统的小型智能设备,如家庭网关、摄像头等。
云堤团队(DamDDoS)经过昼夜奋战,于12月12日率先捕获了本次攻击的恶意样本并进行了分析。受控设备会建立起与黑客主控端61100端口(IP地址为:23.227.*.*)的连接并听任其调配:
设备感染后会在/var目录下生成随机文件名的恶意代码,并在运行后自删除,在内存中恢复该恶意代码执行文件,可获得可恶意代码样本:
云堤团队建议:家庭网关、路由器、智能摄像头等设备因普遍存在默认口令(例如admin/admin;support/support;root/root;root/12345等),很容易被恶意攻击者安装木马程序变成肉鸡。且这些设备通常购买配置后就较少变动,导致木马会长期存在,建议用户对自家设备做好安全加固,避免不必要的损失。
原文发布时间为:2014-12-15