公有雲廠商DDoS防護產品競品分析
本文原創作者:bt0sea,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
1、行文初衷
由於工作關係,最近接觸了很多雲上用戶,對抗D產品做了一下用戶調研,有些想法想和大家分享一下。首先,從數據分析角度上,看一下抗D安全業務需求,然後站在產品經理的角度上,從用戶體驗的五要素戰略層、範圍層、結構層、框架層、表現層方面深度解析市面的雲廠商的抗D產品。最後,站在攻擊者的角度上看看攻防雙方博弈的手段。
2、安全業務需求
1、前言
任何安全業務需求其實都源於其自身的需求,滿足自己的安全需求後才能有對外輸出能力。所以,有必要聊一下,雲廠商為啥把抗D的需求做為雲計算平台的首要安全需求。
國內公有雲大致分類:
備註:排名不分先後。
現在國內主流提供公有雲服務的廠商無論自研還是二道販子加起來超過100家。這為安全業務提供了需求基礎。
2、DDoS數據解讀
我們從被DDoS行業和攻擊次數趨勢兩個維度分析一下公有雲廠商面臨抗D需求,下圖是某公有雲廠商提供的2016Q4和2017Q1行業數據對比。
解讀:
l 針對遊戲用戶的攻擊佔比最多。
l 直播被DDoS次數成上升趨勢。
l 針對公有雲基礎設施的攻擊,一直不斷,例如:CDN掃段DDoS攻擊、DNS DDoS攻擊等。
l SaaS,提供在線服務的公有雲用戶也是黑客攻擊重點。例如:在線教育、App SDK提供商。
2016Q4與2017Q1攻擊趨勢數據對比:
解讀:
l 攻擊頻率在不斷升高
綜上所述:公有雲業務基本上天天被D,它上面的SaaS服務也在天天被D。保護自身的安全才能保障在雲上的所有SaaS服務的SLA。所以,對於保護自身安全是公有雲廠商首選要做的事情。
3、公有雲廠商內部DDoS防禦架構
為了更清晰的了解公有雲廠商內部抗D系統的業務,我簡單描述一下其架構。
主要是針對SYN Flood、UDPFlood bps和pps做閾值告警,設置流量牽引規則。
一般雲廠商BPS閾值一般設置在2G
4、現階段DDoS攻擊峰值態勢解讀
根據報告分析,現在DDoS攻擊峰值在不斷增高。
l 攻擊峰值小於5G的在增加,一般公有雲廠商自身清洗設備都能處理,並且沒有財務負擔。
l 攻擊峰值在5G
l 攻擊峰值在10G
l 攻擊峰值在50G
l 攻擊峰值大於300G的用戶,恭喜你,黑客盯上你了,你的業務也非常賺錢(一個月流水要上千萬,叫點保護費也是應該的)。防禦手段:單家高防解決方案無法滿足你的需求。需要聯合解決方案。
根據云上用戶調研,對抗D產品的核心訴求是:
l 保證業務存活
| 公有雲提供一定免費清洗能力,同時需要購買一定量的雲外抗D資源(一般雲上會提供高防IP服務)。根據自身業務特點購買,比如說遊戲、SaaS等。由於目前的攻擊峰值在不斷升高,建議準備T級別的抗D資源。
l 在線用戶不要掉線
| 抗D線路質量好壞
| 防護高級攻擊抗擊程度例如:CC攻擊、Web socket攻擊。
l 盡量在抗D上少投入
| 需要固定和彈性套餐結合。
3、高仿產品競品分析
1、戰略層面分析
競品選擇:通過以上安全業務需求分析,以及自己的能接觸到提供試用機會的高防產品,我選擇了一下幾個比較典型的廠商做對比。
備註:騰訊大禹高防也是非常優秀的產品,但是沒有試用,這裡沒入選,其最大的優點,BGP線路最大可到100G,是目前防禦峰值最大的BGP高防(阿里最大套餐才20G,號稱防300G,那是BGP高防+靜態高防組合達到峰值)。
2、產品範圍層面分析
l 阿里雲盾-BGP高防(綁定靜態高防)
| 用戶體驗:
| 20G以內線路質量不錯,但是大流量攻擊需要結合靜態高防,線路質量下降。
| CC防護針對棋牌類用戶誤殺嚴重,CC不支持Web socket防護。
| 攻擊流量超過600G阿里BGP高防會強制黑洞。
| 產品功能體驗:
| 核心功能模塊成熟度
l 阿里雲盾-遊戲盾
| 用戶體驗:
| 抗D四層防護用戶體驗非常好,同時可以節省雲廠商的帶寬投入,動態調度節點。但是用戶購買也不便宜呀。由於是App SDK接入一般不提供按月購買。
| CC防護效果最好,CC支持Websocket防護。
| CDN近源清洗,攻擊還沒到大網上就處理很讓其只能徘徊在新用戶分配的用戶組中,可以保住絕大部分現有付費用戶。
| 產品功能體驗:
| 核心功能模塊成熟度
l 知道創宇-抗D保
| 用戶體驗:
| 背靠騰訊線路質量不錯。
| CC防護效果用戶反饋非常好,CC支持Websocket防護。
| CDN近源清洗,攻擊還沒到大網上就處理大部分DDoS攻擊。
| 產品功能體驗:
| 核心功能模塊成熟度
l 金山雲安全-普通高防
| 用戶體驗:
| 在用戶實際遭受攻擊超過800Gbps,用戶的業務存活。
| 聯通性一般。業務有波動(聽說剛上線BGP高防,但是沒有測試過,聽說聯通性不錯,)
| CC防護效果一般,CC有限支持Websocket防護。
| 產品功能體驗:
| 核心功能模塊成熟度
3、產品結構與框架層分析
l 阿里雲盾-BGP高防產品信息架構
l 阿里雲盾-遊戲盾產品信息架構
l 知道創宇-抗D保產品信息架構
l 金山雲-普通高防產品信息架構
4、產品表現層分析
這部分涉及到交互設計:(流程圖)
由於本部分涉及到用戶隱私,咱不在這裡分享。謝謝大家理解。
4、DDoS攻擊和防禦技術總結
現代化DDoS攻擊手段不斷翻新,下面是一個遊戲用戶碰到的部分攻擊情況:
高防技術也在這種博弈中不斷的發展。預祝2017年大家完美的解決自身的抗D問題。
* 本文原創作者:bt0sea,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
※Pwnable.tw刷題之calc
※NSA工具DoublePulsar已入侵數萬Windows設備,來看你是否也在其中?
※XSS利用之延長Session生命周期
※開源的理念做安全:FreeBuf與HackerOne COO王寧對談安全眾測
※PostgreSQL管理工具pgAdmin 4中XSS漏洞的發現和利用
TAG:FreeBuf |
※DDoS防護
※權威分析機構將阿里雲定級為DDoS防護領域全球「第一陣營
※DSCBank必將打造一個基於安全防護的 數字貨幣全產業鏈商業帝國!
※TP 靜電常識及ESD防護
※NASA太空技術任務部使用Bally Ribbon Mills公司3D編製材料開發新的熱防護系統
※NETSCOUT被Frost&Sullivan評為亞太地區頂級DDoS防護供應商
※一種配電SCADA通信安全防護系統的設計
※雲廠商中的「獨苗」!阿里雲位列DDoS防護「全球第一梯度」
※軍備競賽:DDoS攻擊防護體系構建
※39元!小米有品上架AIRPOP Sport護腕:3D編織 舒適防護
※軍標級防護水準 Ticwatch S2影黑版開箱試玩
※小眾騎行防護手套MACNA AIRPACKS開箱體驗
※IOT設備攻擊面分析與防護
※分散式電子錢包和身份盜用防護平台-Safein
※SPIDI|安全防護與機車外型的調和
※伺服器、VPS等安全防護教程
※夏季打孔騎行防護手套MACAN AIRPACK開箱體驗
※DARPA啟動「朋友或敵人」細菌監視項目將提供強大生物防護能力
※FIIL Runner 體驗:IP65 防護的高性價比無線運動耳機
※Imperva WAF實現SSL Labs A+級安全防護