若是全球的沙子都對你發起DDoS攻擊，如何破？

IPv6已來

2016年6月1日開始,蘋果規定全部提交至AppStore的應用必須兼容IPv6-only標準。能夠預計，2018年末會有大量互聯網資源、上網用戶使用IPv6協議。這意味着，若是一個互聯網服務不能支持IPv6，將失去大量用戶流量。

2017年末，中共中央辦公廳、國務院辦公廳印發了《推動互聯網協議第六版（IPv6）規模部署行動計劃》，要求到2018年底，IPv6活躍用戶數達到2億，並要求國內用戶量排名前50位的商業網站及應用支持IPv6。IPv6成爲國家戰略。

隨着IPv6時代的到來，IPv6網絡下的攻擊開始出現。2018年初，Neustar宣稱受到了IPv6DDoS攻擊，這是首個對外公開的IPv6 DDoS攻擊事件。thc-ipv六、hping等IPv6的DDoS攻擊工具也開始在互聯網上出現。

2018年11月，淘寶、優酷的雙十一首次跑在IPv6上。同時，阿里云云盾建成國內首家IPv6 DDoS防護系統，支持秒級監控、防護海量IP，爲淘寶、優酷雲上業務提供IPv4+IPv6雙棧DDoS自動防禦。雙11期間，雙棧防護系統攔截5000屢次DDoS攻擊，最大攻擊流量達到397Gpbs。

IPv6時代，網絡安全面臨新的挑戰

雖然IPv4下的防護系統已經很是成熟，但系統並不能直接用於IPv6防禦，須要全鏈路重構支持IPv6。從流量監控、調度、清洗、黑洞都須要從新適應IPv6的新網絡環境。此外，因爲IPv6協議的新特性，可能會被黑客用於DDoS或DoS攻擊：

 ●  IPv6的NextHeader新特性可能被黑客用於發起DoS攻擊，好比Type0路由頭漏洞，經過精心製造的數據包，可讓一個報文在兩臺有漏洞的服務器之間「彈來彈去」，讓鏈路帶寬耗盡，也能夠繞過源地址限制，讓合法的IP反彈報文；
 ●  IPv6新增NS/NA/RS/RA，可能會被用於DoS或DDoS攻擊；
 ●  IPv6支持無狀態自動配置，同時子網下可能存在很是多可以使用的IP地址，攻擊者能夠便利的發起隨機源DDoS攻擊；
 ●  IPv6採用端到端的分片重組機制，若是服務器存在漏洞，可能會被精心僞造的分片包DoS攻擊。

與此同時，IPv6下攻防態勢也產生新的變化。IPv6提供海量的地址，一個IDC就可能申請到很是大的可用地址塊，這對源IP頻率和限速類的防護算法來講簡直是噩夢。特別是應用層的DDoS：HTTP Flood、刷票、爬蟲將變得更加難以防護。此外，隨着自動駕駛汽車、物聯網設備、移動終端等愈來愈多的智能設備入網，這些設備一旦被入侵均可能成爲發起DDoS的僵屍網絡，產生海量的攻擊報文。

DDoS攻擊每每是出於商業利益，據阿里雲發佈的《2018上半年網絡安全報告》顯示，遊戲、移動應用、電子商務等競爭激烈的領域是DDoS攻擊的重點陣地。隨着企業業務切到IPv6協議，IPv6下的DDoS攻擊在一段時間裏會很是有效，由於不少企業並無作好IPv6 DDoS防護的準備，對攻擊者來講能夠輕易達成攻擊目標。此時IPv6下的DDoS攻擊會逐步熱門起來，成爲不少企業的阿喀琉斯之踵。

阿里雲IPv6DDoS防護最佳實踐

針對挑戰和變化須要解決的問題：

 ●  網絡和DDoS防護系統須要改造甚至重構支持IPv6。
首先，雖然IPv4網絡已經很是成熟，但到了IPv6網絡，現有的不少企業網絡、服務器網絡的大部分都須要更換設備和從新開發系統，才能支持IPv6網絡以及IPv6網絡下的安全防禦；
部分企業寄但願運營商會提供平滑的過渡方案，但運營商只會對運營商網絡邊界內進行改造升級，企業若是須要支持IPv6，是須要自身進行改造升級的。
 ●  IPv6的地址總量是IPv4的2的96次方倍，系統須要更強大的處理性能才能支持海量的IP的安全防護。
 ●  針對大流量DDoS，須要創建運營商級別的IPv6黑洞能力。
 ●  防護算法和防護模式都須要適應IPv6的新挑戰。
 ●  在業務切換到IPv6的同時，須要具有IPv6網絡下的安全防禦能力。

阿里雲如何實現：

1.重構系統支持IPv4+IPv6的雙棧DDoS自動防禦

a) 流量監控預警系統

流量監控預警系統須要支持IPv6和IPv4，同時檢測雙棧流量，爲了能檢測IPv6海量的IP地址，阿里雲DDoS系統採用了分佈式集羣的方式，將流量分散到集羣上協做運算，對多個流量指標進行統計，秒級監控流量的異常。

b) 調度系統

對調度系統升級，支持雙棧，自動判斷IP類型，啓動對應防護模式和清洗算法。

c) 清洗系統

從新設計部署了牽引、回注、清洗系統，並制定針對IPv6的清洗算法。

2.運營商級別黑洞能力

不論是IPv4仍是IPv6，當某個IP攻擊流量特別大，會致使整個帶寬擁塞。不管對IDC機房、雲服務商來講，1個IP被攻擊致使全部業務不可用簡直是災難。特別是IPv6網絡帶寬相對於IPv4還處於建設初期，攻擊擁塞風險更大。

阿里雲和各大ISP服務商創建IPv6黑洞聯動能力，能夠在運營商IPv6骨幹網丟棄流量，提供安全的雲環境。

3.防禦模式的升級

a) 針對prefix級別的防護算法：

雖然一個IDC就可能申請到海量的IP地址，但這些IP地址歸屬的IP地址塊不會太多，即便攻擊者能夠切換海量的IP地址，但在同一個機房的肉雞IP很難在網段級別離散，經過IP地址網段來統計和分析能夠有效減弱IPv6海量地址帶來的衝擊。

b）協同防護：

在傳統IDC和單機安全設備上，一個IP的異常指標可能很是低，很難分析它是攻擊仍是正常訪問，同時很難判斷這個IP是不是NAT或園區出口，結合IPv6的海量IP，攻擊者能夠進一步下降被識別的可能。但攻擊者爲了成本和效率，一個IP不可能只攻擊一個目標。好比IP X.X.X.X 在DDoS了服務器A以後，可能又去CC攻擊了服務器B。在阿里雲上，因爲規模效應，有海量的IP同時在被防護，全部清洗數據進行了在線化分析，一個IP的行爲特徵就有了上帝視角，攻擊者變得很是明顯，全部租戶的防護就能夠協同做戰，威脅情報能夠共享。

c) 智能化深度防護：

針對應用層的DDoS攻擊，基於頻率和限速的模式會愈來愈難防護，假如一個網站能承受1W qps。在IPv6下，攻擊者能夠很廉價的獲取1W個IP，每一個IP每秒發起1次請求，這個網站就會不堪重負。因此，在IPv6下應用層的DDoS攻擊防護，更高級的人機識別技術、人機對抗技術將成爲主流。目前阿里雲已在Web應用防火牆上應用了多種人機對抗技術。

安全建議

對於普通互聯網服務提供者來講，重構、升級系統來支持IPv6須要花費大量的成本，建議利用雲服務快速搭建基於IPv6的服務。目前，阿里雲已有多款產品支持IPv6，同時以SaaS化的形式提供IPv6 DDoS防禦能力，助力企業一秒搭建更高級別的防護能力。

原文連接