极御云安全

极御云安全抗D云WAF和游戏盾获得CSA国际顶级云安全认证

7月8日，在公安部网络安全保卫局的指导下，由公安部第三研究所主办的网络安全标准论坛（暨云计算安全与通用评估标准培训会）在北京召开。在本次大会上，极御云安全的抗D云WAF平台和游戏盾同时将公安部第三研究所安全防范与信息安全产品及系统检验实验室颁发的云计算产品信息安全认证证书（SaaS安全认证），以及全球顶级认证CSA CSTR云安全标准认证收入囊中，成为首批同时通过“双标认证”的云防御安全厂商之一。 此次国内只有四家一线网络安全企业获得了“双标认证”，也可以看得出该标准的要求严格程度是极高的。据介绍，该“双标认证”是一种综合了安全专用产品销售许可和网络安全等级保护优势的测评，其不仅考虑了产品提供的安全能力，也能保证在线系统自身的安全性，在全球云防御大势所驱的大背景下，认证充分体现了极御云安全平台的极高可靠性。 云等保测评2.0和云计算安全相关政策最近频繁被宣讲和阐述，也体现了云防御在未来的安全价值。从解读上讲，以前的传统的认证，都是偏重于针对软件和硬件形态产品，对于新兴的服务形态的产品，比如云安全平台则没有针对认证，公安三所此次联合国家权威安全认证机构，将彻底解决云防御之前遭遇的尴尬处境问题。 出席会议的极御云安全相关负责人表示，极御云安全从2013年开始着手建设云安全防御平台，在过去数年时间内，已取得国内云防御市能力前3的成绩，并且在保障周期内无一用户因遭受DDoS攻击而瘫痪，平台具有极高的安全价值，作为首批双标云计算产品信息安全认证的安全厂商之一，极御云安全将继续提升安全能力，并努力丰富细化产品矩阵，持续输出安全、高速、稳定的云安全服务能力。为中国云安全、云防御领域的发展进一步贡献力量。  

剑走偏锋 极御云安全发布第二代DDoS云清洗服务

今年刷新了DDoS攻击新纪录的Memcached 放大攻击让世界顶级的开源代码托管服务商github遭受重创，攻击高达1.35Tbps(这个攻击规模相当于 12306 每秒流量的数千倍，如果换算成下载GTA5 游戏(60GB大小)的速度，相当于每秒可以下载 2 个GTA5 大小的游戏)，可见DDoS攻击已成为头号互联网毒瘤。 在介绍极御云安全第二代DDoS云清洗算法之前，小编带大家先了解下DDoS攻击的 7 种武器。 长生剑——SYN Flood攻击，这武器来头可不小， 1996 的时候全球最大的互联网门户网站雅虎就被SYN Flood轻松击败，瘫痪数天，造成数百万美元的损失。SYN Flood可以凭借源IP伪造的能力利用TCP协议三次握手轻松将目标服务器资源耗尽并瘫痪。尽管硬件防火墙可以处理和防御SYN Flood攻击，但是对于SYN Flood攻击的防御依然还是杀敌一万自损三千的方式实现的。 多情环—— TCP全连接攻击，由于SYN Flood攻击能够被一些先进的防御算法所识别和防御(SYN Cookies和SYN Proxy等算法)，这时候TCP全连接攻击出现了，通过完成TCP的三次握手，最终和目标服务器建立TCP连接，殊不知服务器对于TCP连接的建立和处理能力是有限的，例如某游戏的网关程序由于代码写的比较烂，超过 1000 个TCP连接就无法继续处理新的TCP请求了，正所谓“多情总被无情伤”。TCP全连接攻击正是通过这种方式绕过硬件防火墙的防御措施从而拖垮服务器。 孔雀翎——TCP畸形包攻击，发送伪造源IP的TCP数据包，并且TCP Flags 部分是混乱的，可能是syn，ack，syn+ack，syn+rst等等，会造成一些防护设备处理错误锁死(通常现在的硬件防火墙算法已经不再有这种问题了)，消耗服务器CPU内存的同时还会堵塞带宽。就好像孔雀翎，总是在迷惑对手的时候施展最后的致命一击。 碧玉刀——UDP Flood攻击，这种攻击是 16 年之后开始日渐流行的，由于UDP协议是无连接的协议，互联网中有很多的服务是基于UDP协议的，例如DNS，NTP，SSDP，SNMP等，但是这些服务都可以被黑客利用成为攻击流量的放大器，黑客可以轻松的实现四两拨千斤，只需要1G的攻击流量即可通过这些放大器放大数十倍甚至数千倍，今年刷新DDoS攻击最大纪录的Memcached放大攻击就是属于这种方法实现的。看似轻盈小巧的碧玉刀，实则威力不容小觑。 拳头——DNS Flood攻击，由于DNS服务器在互联网中扮演着至关重要的角色，可以毫不夸张的说没有DNS服务器就没有互联网!可谁能想到DNS服务器也是非常脆弱的，黑客可以利用大量的肉鸡和向某个域名发起递归攻击(NXDDomain)，可怜的递归DNS服务器和权威DNS服务器都将受到重创，而且一旦递归DNS服务器瘫痪，将影响大量的宽带用户的正常上网，而权威DNS服务器面对大量的递归DNS请求也只能死撑，但是能撑住的可能性很低。根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟 9000 个请求。而我们知道，在一台PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS 服务器的脆弱性。DNS解析作为DDoS攻击之根本，就好像拳头一样，随时随地可以出手。 离别钩——CC攻击，是DDoS攻击的一种，是利用不断对网站发送连接请求致使形成拒绝服务的攻击。相比其它的DDoS攻击，CC攻击是应用层的，主要针对网站，通过对网站发起大量的请求，间接的增加数据库和日志系统的压力，导致网站最终完全瘫痪。而CC攻击目前已经发展到了可以实现完全模拟真实用户的访问频率，已经成为最难防御的攻击类型之一。就像离别钩名为离别，实为相聚一样，CC攻击的真实意图又有谁能理解呢。 霸王枪——空连接和假人攻击，因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000，人物选择端口7100，以及游戏运行端口7200，7300， 7400 等，因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样百出，大概有几十种之多，而且还在不断的发现新的攻击种类，最普遍是假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击?哪些是正常玩家。针对游戏服务器的攻击十分霸气，就像霸王枪蛟龙出水，难以抵挡。 极御云安全发布的第二代DDoS云清洗服务堪称六脉神剑 以上DDoS攻击的七种武器都有各自的特点和杀伤力，但也并非无法防范。说起抵御DDoS攻击的招数，就不得不提起六脉神剑绝技，以无形化有形，瓦解着DDoS的一次次攻击。 少商剑——SYN Flood防御算法，极御云安全自研的Safe SYN Mitigation算法可以实现几乎无损用户体验的SYN Flood防御，用户访问被SYN攻击的服务器时不会出现首次打开失败需要刷新网站或者重新登陆游戏的情况，并且相对于传统的SYN Proxy和SYN Cookies算法，极御云安全的Safe SYN Mitigation更具性价比，防御成本可以降低50%以上，同时并不会降低用户的体验。 SYN Flood防御算法就好像少商剑一样，异常刚猛，颇有石破天惊，风雨大至之势，是御敌最常用到的招式。 商阳剑——UDP Flood防御算法，UDP协议与TCP 协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDP Flood的防护非常困难。一般最简单的方法就是不对外开放UDP服务，但是这怎么难得到极御云安全的研发Leader呢! 极御云安全突破性的结合了UDP Packet动态采样过滤算法和PacketDNA指纹算法，可以从端到云实现数据包的全链路可信认证，就和身份证一样，每一个合法的公民都有身份证，同样每一个合法的数据包从源头发起的时候就具备了唯一和可信的报文指纹和ID，而黑客通过肉鸡发出的UDP Flood攻击是无法具备这种指纹和ID，从而实现100%防御各种UDP Flood攻击。 将UDP Flood防御算法比作商阳剑，就和商阳剑一样，虽难以捉摸，但是能一招制敌。 少泽剑——DNS Flood防御算法，极御云安全基于自研的云甲FPGA芯片级DDoS防御系统实现了高性能权威DNS，能够自动学习后端的DNS服务器的DNS响应请求并缓存，并能够通过API实现替身式的DNS服务，将后端DNS服务器保护在城墙之内，代替后端DNS服务器响应。这需要相当强悍的DNS处理能力才可以支撑，好在极御云安全的DNS防御和响应能力高达 2 亿QPS，并通过各种算法限制随机查询和源IP查询次数限制等。就好似少泽剑忽来忽去，变化精微一般，DNS Flood防御算法也在变化中不断调整，以求防御的最佳效果。 少冲剑——CC防御算法， 10 年前的CC攻击和现在的CC攻击已经是今非昔比了，现代化的CC攻击具备了超强的防御对抗能力，以前的CC防御算法都已经败阵下来，极御云安全通过全新的指纹追踪算法，能够瞬间拦截各种CC攻击，无论攻击者如何变换都无法逃过指纹追踪。颇有少冲剑轻灵迅速，以巧取胜之意。 关冲剑——限制连接数， 通过限制连接数对通过验证的IP地址进行相关的访问频率和速度限制，如关冲剑一般，看似拙滞古朴，实则为招数之基本。通过判断连接数，即每秒访问数量，保证受保护主机始终有能力处理数据报文，可以有效降低肉鸡的攻击效果，即发起同样规模的攻击则需要更多的肉鸡。 中冲剑——全球部署了 20 多个DDoS云清洗中心，总DDoS防御能力超过10Tbps，拥有Anycast近源清洗能力，多维压制，降维打击。犹如中冲剑，一招御敌，气势十足。 七种武器各自为战，六脉神剑集于一身，当七种武器遇到六脉神剑，孰胜孰败已见分晓。  

打破按照DDoS攻击流量收费的防御模式

DDoS攻击及其导致的黑洞问题一直是在线游戏运营时的最大困扰，而高昂的DDoS防护费用也令许多公司难以承担。极御云安全团队采用全新的计费模式，并结合8年在线游戏攻防技术的积累，为在线游戏运营商提供用得起的DDoS防护服务。 在线游戏网络运维时最头疼的问题是什么？ 对于各类在线游戏来说，莫过于频繁的被DDoS攻击了，轻则流失用户，重则服务几天、几周完全不可用，严重影响公司的在线游戏的正常运行，很多小型的在线游戏都倒在这一关，棋牌游戏更是是DDoS攻击的重灾区。 DDoS 攻击背后的商业逻辑不外乎以下三种： 1. 利益同盟壁垒（垂直细分行业内部结成的所谓利益“联盟”） 2. 同行相互竞争（行业内的直接竞争对手） 3. 直接攻击获利（敲诈勒索、恐吓营销） 其中，前两种攻击来源几乎占所有DDoS攻击的 80% 左右，对于黑客通过直接攻击来敲诈勒索的DDoS攻击来说，还好一点，花钱买平安，黑客一般也会“体贴”的给企业一个“能支付得起”的价格，对于前两种攻击来说只能自求多福了。 为了应对各类DDoS攻击，企业不得不尝试多种解决方案： 1. 自购DDoS硬件防火墙 2. 高防服务器 3. 云防护服务 其中，自购DDoS硬件防火墙做防护是托管物理服务器时代的解决方案，云计算模式流行后，企业客户大部分都是通过使用云主机来部署自己的业务，无法部署自己的防护硬件。市面上几乎所有的高防机房都是通过购买硬件防火墙做高防服务的生意，但在DDoS攻击技术和模式不断更新、变种的形势下，硬件防护方案很难做到实时的防护策略更新，防护效果有限。 2012 年开始，各类提供“云防护”的DDoS防护产品陆续推出市场，当时主要还是面对网站用户，提供WEB业务的防护，客户可以通过简单的修改DNS域名记录的方式来快捷的接入各家的云防护服务，更随着云计算行业的发展，云防护的理念被客户所理解和接受。 但这个“云”用起来，并不是那么美好，无它，一个字：“贵”。 从各种提供DDoS防护服务公司的产品报价上来看，基本上入门级的20Gbps基础防护价格都在 一个月1万元以上 ，这还只是预付费部分，后续因为DDoS攻击超过最大防护带宽时导致的临时加价更是屡见不鲜。从我们接触的各类客户来看，一般一个小型（几十人）公司，一年花 20~30 万 在DDoS防护上是很常见的，在攻击频繁的时候，一个月花 50 万 的客户也不少见，否则只能眼睁睁的看着服务完全瘫痪。 究其根底，目前所有的云防护产品都是以攻击的“ 最大峰值带宽 ”来计费的，也就是攻击的最大值，比如原先购买的是20Gbps基础防护，攻击达到了“100Gbps”（真实的攻击带宽用户并不能掌握， 服务提供方说了算 ），销售这时候一般都会找上门来，让客户要么提升防护的套餐，要么购买其它额外的防护服务。当然，这价格也相当可观。 对于小 型游戏运营公司 来说，其正常业务带宽（没有攻击时的正常带宽）可能也就100Mbps ~1Gbps 左右，大公司可能一百倍以上，但是攻击的时候攻击带宽不会有如此大的差异，一般黑客会视防护服务提供方的防护能力来攻击。也就是说一个只有1Mb带宽使用量的小公司，和一个1000Mbps带宽使用量的大公司，他们受到的DDoS攻击的峰值不会相差太多，进而要支付的防护费用都差不多。 这对中小型公司来说明显是很不合理的，也是很不划算的，甚至是负担不起的。 DDoS 攻击的频率并不是那么高，在新产品上线的那个时间段可能会比较频繁一点，很多时候一个月可能就几次攻击而已，所以DDoS防护可以看成一种互联网“ 保险 ”服务，以备不时之需，以往的计费模式对于小公司来说显的很不合理，客户经常因为负担不起高额的云防护费用，退而求其次只能选择高防机房，而其网络质量和稳定性相对于常见的云计算厂商来说都会有一定的下降。迫不得已的情况下，只能“裸奔”。 极御云安全的游戏盾DDoS防护解决方案支持对各类在线游戏的网络层和应用层DDoS攻击的防护，包括但不限于： 1. DDoS攻击 2. API CC攻击 3. 端口空连接攻击 4. 畸形数据包攻击 5. DNS攻击 基于自研的极御云甲FPGA芯片级DDoS清洗系统，极御云安全能够为在线游戏提供： 1. 无上限的DDoS和CC攻击防御服务(国内8个DDoS清洗中心，共8Tbps防御能力) 2. DNS防御服务 3. 基于行为分析和设备指纹的CC攻击防护系统，对游戏类客户有着非常好的防护效果，杜绝误杀。 4. 支持UDP协议的防护，UDP在类似王者荣耀的对战类游戏里应用较多。因为UDP协议无状态的特点，在其上做DDoS防护很困难，极御云安全创新性的基于报文指纹算法的防护模式，实际使用中达到了非常好的防护效果。 安全的游戏盾的DDoS防护解决方案的计费模式是基于 业务带宽 的，不是根据攻击带宽大小，不会因为攻击带宽的增高而提价，小客户（100Mbps带宽以下）、大客户（1000Mbps）都享受同样的攻击防护服务等级（目前最大防护能力： 8Tbps ），大部分小型在线游戏运营商的日常业务带宽在100Mbps以下，价格对于中小企业客户来说更为实惠。客户可以选择包月购买，也可以选择按量付费（交纳少量的月基础配置费用，防护一天只算这一天的费用）。选择“按量付费”时，客户可以在遭受攻击时切换到极御云安全，攻击停止后再切换走，可以大大节省客户的费用。对于被攻击频率很低的客户来说非常适用，其计费模式为： 每月费用 = 基础配置费用 + 防护服务费用 × 使用天数 其中： 使用天数 是指DDoS攻击发生时，客户将业务流量切换到极御云安全上的次数（一天之内切换多次只算一次），如果当月没有攻击发生，没有切换过，那该月只收取基础配置费用。 从用户实际反馈看，可以节省用户 超过一半 的日常防护花销。尤其是 中小型游戏公司 ，不管是包月还是按量模式，日常支出都会有大幅度的缩减。 黑洞： DDoS攻击引起的无妄之灾？ 对于上云的客户，极御云安全可提供黑洞解封服务。 黑洞是很多互联网公司的梦魇 ，几乎所有被DDoS攻击过的用户都会经历过。 由于DDoS攻击导致云计算平台将客户服务器的网络流量完全中断的现象称为“黑洞”。黑洞短则数小时，长则持续数天，而不管DDoS攻击是否还在继续。客户遭受“黑洞”时，完全不能通过Internet网络访问服务器。使用极御云安全的游戏盾DDoS防护解决方案，客户可以通过我们架设在各类公有云（目前支持阿里云、腾讯云）上的专用隧道来做流量的转发，即使被黑洞，企业的最终客户依然能 稳定 的访问到他们的网络服务。 极御云安全是一家云安全解决方案提供商，聚焦于为各类互联网企业客户提供稳定的基于云的“ 纯粹 ”的DDoS防护服务。团队有八年以上DDoS防护产品开发和运营的经验，更深入的理解互联网企业用户网络运维时的需求和痛点。 目前，游戏公司是极御云安全的主要客户， 百搭网络旗下的阿拉棋牌等国内知名棋牌游戏公司在稳定的使用我们的游戏盾DDoS防护解决方案。 2013年，极御云安全开始布局海外DDoS防护市场，目前主要集中在东南亚地区，在台湾、香港、新加坡、泰国、马来西亚、菲律宾和当地电信运营商合作，为国内出海的企业客户提供高质量的DDoS防护服务。东南亚区域目前已正式向国内企业提供服务，美国和欧洲（英国、荷兰）的大流量清洗节点也正在积极筹建中。 “ 纯粹 ”的云安全服务，是我们的宗旨，也是我们最大的努力目标。