2022CCS：云上业务DDoS与CC攻击防护实践

2022年9月26日，由四川省互联网信息办公室指导，成都市互联网信息办公室，‍‍成都高新技术产业开发管理委员会联合主办，‍‍成都无糖信息技术有限公司承办的2022CCS成都网络安全大会暨数据治理峰会‍‍在线上正式拉开序幕。

在大会首日的云安全实战分论坛上，字节跳动火山引擎云安全工程师欧阳鹏分享了云上业务DDoS与应用层CC攻击防护实践。

该演讲以火山引擎的具体云防护案例实践展开，分享了案例的背景、解决方案，以及对应的案例延伸总结。从企业业务上云，云上业务及SaaS化服务广泛的抗D需求，该实践案例对于企业用户而言，特别是复杂业务场景下抗D实践具有一定的借鉴价值。

案例背景：DDoS攻击来势汹汹，云上业务面临威胁

某网络科技有限公司，SaaS化创业公司，业务基于云上开展。其业务主要为各大网站提供安全验证服务，且市场占有率较高，服务客户遍布金融、直播、教育、电商等多个领域。案例分享指出，该公司面临的主要外在威胁是随着其市场占有率的不断提升，以及客户群体的扩大，针对平台的DDoS和应用层CC攻击显著增多。

难点：分享指出该案例实践的难点在于要防御手法多样的DDoS、CC攻击，频繁和超大流量攻击，其重点在于防护算法需足够精细，且要兼容到该企业业务各类特殊场景当中，对网络质量、防护性能要求极高，同时要求防护方案具备丰富的攻防能力。

解决方案：魔高一尺，道高一丈，构建纵深防御体系

在案例的解决方案介绍中，我们看到‍‍火山引擎云防护构建了梯级的防护能力，包含网络层攻击防护引擎、网络层转发引擎、应用层攻击防护引擎、应用层转发引擎，以及安全可视化&告警在内的能力，为客户搭建了纵深防御体系。

‍“业务流量牵引至火山引擎提供的高防IP，流量将通过火山引擎网络安全系统分析清洗，最终实现攻击流量拦截。该系统内部采用自主研发的DDoS、WAF等防护产品组成的多层防御系统，对3~7层攻击流量进行分层而治，并提供完备的可视化数据和安全事件告警能力。”

据介绍，该解决方案亮点在于以下三点：

1、海量带宽，T级防护：核心的基础能力，从而让业务免遭大规模攻击的同时享受优质网络质量，同时支持实时弹性扩容以及自定义策略，满足不同业务场景应用需求；

2、多层防御，分层而治：自于自主研发的防护引擎搭建多层防御体系，对不同场景攻击流量分层而治，从而提高系统防护性能和可靠性；

3、算法创新，精准清洗：通过新型防护算法，例如TCP四层CC防护模型、TCP反向算法、应用层CC多维策略等，并结合其他传统防护策略有效覆盖各类攻击，提供优质防护体验。

案例应用效果：据介绍，该案例企业SaaS服务接入该火山引擎云防护系统之后，累计防护网络攻击近百次，其中包括10次以上100G以上大规模攻击，也包含峰值突破300G攻击，均被有效防护。相比接入系统之前，该企业的在线业务稳定运行得到了充分保障。‍‍

反思总结：优势复制，为云上业务保驾护航

案例具有优势复制的延伸应用，在总结防护经验时演讲者指出优势在于：

1、立足业务场景：基于攻击频次与攻击规模给出最佳防护方案，方案适配业务底层协议，节约业务防护成本；

2、贴身策略制定：支持贴身策略定制能力，系统支持定制4层DDoS防护策略和定制7层CC防护策略，防护策略灵活，能更加适配企业苛刻的业务场景化能力需求；

3、实现攻击溯源：‍‍系统提供整体防护数据可视化能力，最大程度协助业务实现攻击溯源。包括正常流量和异常流量，通过人工+智能的方式实现多样化的数据分析。

总体点评：案例对象我们完全可以猜测是哪家科技企业，针对类似的在线科技服务型企业，保障其SaaS服务安全稳定，构筑符合自身发展定位的抗D解决方案几乎是企业健康发展的硬性标准。

从火山引擎提供的整体抗D防护方案来看，方案除了自身系统的强大的抗D、抗CC攻击资源及技术能力之余，重点强调了自身防护架构的灵活性，这种灵活性在于对复杂业务场景的优化支持，以及通过持续防护的经验数据积累所取得的策略调整能力和可视化能力。