今日要聞

國務院金融穩定發展委員會召開第八次會議

2019年9月27日，國務院金融穩定發展委員會（以下簡稱金融委）召開第八次會議，研究深化金融體制改革、增強金融服務實體經濟能力等問題，部署下一步重點工作。會議由中共中央政治局委員、國務院副總理、金融委主任劉鶴主持，金融委各成員單位及相關單位負責同志參加會議。

會議指出，當前中國經濟執行總體平穩，增長動力加快轉換，金融風險趨於收斂。金融體系要貫徹落實黨中央、國務院決策部署，堅持穩中求進工作總基調，切實深化金融供給側結構性改革，繼續實施好穩健貨幣政策，加大逆週期調節力度，保持流動性合理充裕和社會融資規模合理增長。要進一步深化政策性金融機構改革，完善治理體系和激勵機制，遵循金融機構經營規律，發揮好政策性金融機構在經濟轉型升級和高品質發展中的逆週期調節作用。要加快構建商業銀行資本補充長效機制，豐富銀行補充資本的資金來源渠道，進一步疏通金融體系流動性向實體經濟的傳導渠道。重點支援中小銀行補充資本，將資本補充與改進公司治理、完善內部管理結合起來，有效引導中小銀行下沉重心、服務當地，支援民營和中小微企業。要進一步擴大金融業高水平雙向開放，鼓勵境外金融機構和資金進入境內金融市場，提升中國金融體系的活力和競爭力。會議還研究了其他事項。（來源：中國政府網）

文 / 中國光大銀行資訊科技部副總經理 彭曉

近兩年發生多起針對全球大型機構發起大規模DDos攻擊事件，使得DDos攻擊又重回福斯視野，引起業界的廣泛關注。金融機構雖按照要求建立了本地以及運營商級的DDos攻擊檢測清洗服務，但隨著網際網路類業務的快速發展，同時DDos攻擊的成本不斷降低，新型攻擊攻擊手法層出不窮，攻擊工具的肆意傳播，使得DDos攻擊形成了一個地下產業，投入極低的成本便可發動一次DDos攻擊，網際網路類業務遭受到的威脅也在不斷攀升。

本文主要結合多年網路安全運維經驗以及對DDos的基本理解，淺談DDos攻擊原理和基本防護思路。

DDos的基本概念及型別

Dos拒絕服務攻擊是通過各種手段消耗網路頻寬和系統CPU、記憶體、連線數等資源，直接造成網路頻寬耗盡或系統資源耗盡，使得該目標系統無法為正常使用者提供業務服務，從而導致拒絕服務。DDos分散式拒絕服務攻擊由Dos演變而來，黑客利用控制的多臺計算機（肉雞）對一個特定目標傳送儘可能多的網路訪問請求，形成流量洪流來衝擊目標業務系統，其攻擊源是分散的、範圍可能遍佈全球。資訊保安的三要素——“保密性”“完整性”和“可用性”中，傳統拒絕服務攻擊針對的目標正是系統“可用性”。

DDos攻擊主要分為兩大類：流量攻擊型和應用攻擊型。流量型攻擊最大的特點就是流量大，快速消耗使用者的網路頻寬造成頻寬耗盡，可能出現一個特定目標單位被攻擊影響到共用運營商資源的其他單位頻寬受影響的情況。流量型DDos又可分為直接型和反射型，直接型主要包括SYN\\ACK\\ICMP\\UDPFLOOD等，反射型主要包括NTP\\DNS\\SSDP反射FLOOD等。

而應用型DDos攻擊最典型的就是CC攻擊和HTTP慢速攻擊，CC是DDos攻擊的一種，CC攻擊是藉助代理伺服器生成指向受害主機的合法請求，實現DDOS和偽裝，CC攻擊（ChallengeCollapsar）要是通過製造大量的後臺資料庫查詢動作來攻擊頁面，消耗目標資源；HTTP慢速攻擊是CC攻擊的變種，對任何一個開放了HTTP訪問的伺服器，攻擊者先建立一個連線，指定一個比較大的content-length，然後以非常低的速度發包，比如1-10s發一個位元組，然後維持住這個連線不斷開。如果客戶端持續建立這樣的連線，那麼伺服器上可用的連線數將一點一點被佔滿，從而導致拒絕服務。CC攻擊、慢速攻擊等應用型攻擊與流量型DDos的區別就是流量型DDos是針對IP的攻擊，而CC攻擊的是伺服器資源。

典型DDos攻擊分類大致如圖1所示。

流量型DDos攻擊防護思路

常規流量型的DDos攻擊應急防護方式因其選擇的引流技術不同而在實現上有不同的差異性，主要分為以下三種方式，實現分層清洗的效果。

1.本地DDos防護裝置。一般惡意組織發起DDos攻擊時，率先感知並起作用的一般為本地資料中心內的DDos防護裝置，金融機構本地防護裝置較多采用旁路映象部署方式。本地DDos防護裝置一般分為DDos檢測裝置、清洗裝置和管理中心。首先，DDos檢測裝置日常通過流量基線自學習方式，按各種和防禦有關的維度，比如syn報文速率、http訪問速率等進行統計，形成流量模型基線，從而生成防禦閾值。學習結束後繼續按基線學習的維度做流量統計，並將每一秒鐘的統計結果和防禦閾值進行比較，超過則認為有異常，通告管理中心。由管理中心下發引流策略到清洗裝置，啟動引流清洗。異常流量清洗通過特徵、基線、回覆確認等各種方式對攻擊流量進行識別、清洗。經過異常流量清洗之後，為防止流量再次引流至DDos清洗裝置，可通過在出口裝置回注介面上使用策略路由強制回注的流量去往資料中心內部網路，訪問目標系統。

2.運營商清洗服務。當流量型攻擊的攻擊流量超出網際網路鏈路頻寬或本地DDos清洗裝置效能不足以應對DDos流量攻擊時，需要通過運營商清洗服務或藉助運營商臨時增加頻寬來完成攻擊流量的清洗，運營商通過各級DDos防護裝置以清洗服務的方式幫助使用者解決頻寬消耗型的DDos攻擊行為。實踐證明，運營商清洗服務在應對流量型DDos攻擊時較為有效。

3.雲清洗服務。當運營商DDos流量清洗不能實現既定效果的情況下，可以考慮緊急啟用運營商雲清洗服務來進行最後的對決。依託運營商骨幹網分散式部署的異常流量清洗中心，實現分散式近源清洗技術，在運營商骨幹網路上靠近攻擊源的地方把流量清洗掉，提升攻擊對抗能力。具備適用場景的可以考慮利用CNAME或域名方式，將源站解析到安全廠商雲端域名，實現引流、清洗、回注，提升抗D能力。進行這類清洗需要較大的流量路徑改動，牽涉面較大，一般不建議作為日常常規防禦手段。

以上三種防禦方式存在共同的缺點，由於本地DDos防護裝置及運營商均不具備HTTPS加密流量解碼能力，導致針對HTTPS流量的防護能力有限；同時由於運營商清洗服務多是基於Flow的方式檢測DDos攻擊，且策略的顆粒度往往較粗，因此針對CC或HTTP慢速等應用層特徵的DDos攻擊型別檢測效果往往不夠理想。

對比三種方式的不同適用場景，發現單一解決方案不能完成所有DDos攻擊清洗，因為大多數真正的DDos攻擊都是“混合”攻擊（摻雜各種不同的攻擊型別），比如：以大流量反射做背景，期間混入一些CC和連線耗盡，以及慢速攻擊。這時很有可能需要運營商清洗（針對流量型的攻擊）先把80%以上的流量清洗掉，把鏈路頻寬清出來，在剩下的20%裡很有可能還有80%是攻擊流量（類似CC攻擊、HTTP慢速攻擊等），那麼就需要本地配合進一步進行清洗。

應用型DDos攻擊防護思路

這裡要重點介紹一下CC攻擊。CC攻擊是一個依賴http協議，並通過構造特殊的http請求導致伺服器保持連線等待狀態，直至伺服器CPU、記憶體、連線數等資源被打滿，從而造成拒絕服務的一種攻擊方式，屬於典型的應用層DDos攻擊。CC攻擊的特點和流量型DDoS攻擊最大的區別是並不需要大流量即可達到攻擊效果。有些極端情況下在遭受此類攻擊的時候，流量特徵可能沒有明顯的變化，而業務層面出現訪問緩慢、超時等現象，且大量訪問請求可能指向同一個或少數幾個頁面。

因為CC攻擊來的IP都是真實的、分散的，且CC攻擊的請求，全都是有效的請求，無法拒絕的請求。對於此類攻擊，DDoS攻擊清洗裝置的基礎演算法作用可能就沒那麼明顯了，需要在攻擊過程中實時抓取攻擊特徵，對症下藥。

總結CC攻擊，發生攻擊時還是有較明顯的攻擊特徵。一般情況客戶在訪問業務的時候不會集中在幾個頁面，而是比較分散的。而當發生了CC攻擊的時候，抓包後可以很明顯地發現大量的訪問都集中在某幾個或者多個頁面，那麼我們可以針對該特徵進行鍼對性地防護配置。

CC攻擊的防護思路

由於CC攻擊是典型的應用層DDos攻擊，因此傳統安全裝置，如防火牆、運營商清洗等很難起到很好的防護作用。目前業界通常會在應用伺服器前端部署具備安全功能的代理裝置進行防護，比如WAF、負載均衡等，避免讓伺服器直接面對CC攻擊。代理裝置啟用資源代理和安全防護功能，比如要求在接收完整的HTTP請求之後才會與伺服器建立TCP連線併發送已收到的HTTP請求，此時攻擊者的請求直接被代理裝置終結而不會發往伺服器。

經過實踐總結，前端WAF或者負載均衡裝置能夠提供的有效策略如下：

一是部署架構上，可將前端WAF或者負載均衡裝置部署於HTTPS解除安裝器之後，從而實現對HTTPS流量的防護能力。

二是使用IP地址信譽庫，對請求IP地址進行甄別和過濾，阻止來自惡意IP的服務請求。

三是通過跟蹤客戶端的Session資訊、標記Session的威脅指數與可疑度、識別訪問頻度、滑鼠鍵盤操作時間等技術，識別惡意請求；同時制定挑戰策略，對於不合法的請求可以採取挑戰驗證碼、識別機器人行為特徵，快速阻斷不合法請求或BOT發起的仿正常請求。

系統/應用層面能夠提供的有效防護策略有：

一是輕應用部署。應用部署時考慮頁面靜態比例，儘量讓網站靜態化，減少不必要的動態查詢等方式，同時應急情況下可以將動態頁面臨時替換為靜態頁面，減少後臺請求資料庫/應用伺服器的次數。

二是限制單IP連線數量，降低同一ip攻擊者帶來的危害和影響。

三是降低連線超時時間，及時釋放系統資源應對TCP連線資源耗盡型別的CC攻擊。

四是及時清理無用過期等檔案，並將大的檔案物件或者頁面部署在CDN節點上，隱藏真正的網際網路頻寬入口，降低對源站的影響等。

以上防護手段可以起到一定的防護作用。不過，我們也要看到，目前黑客攻擊有多樣化的趨勢，一次攻擊行為內往往混合了多種攻擊方式和手段。金融機構需要抵禦這種凶猛的攻擊，靠單獨的某一類裝置是不夠的。金融機構應該搭建層次化的立體防禦架構，防範攻擊需要在合適的維度採用合適的防禦技術，且每個防禦層面都需要充分考慮其架構可擴充套件性，架構上需要仔細考量與設計。

DDos防護實踐總結

架構設計：應支援資源橫向擴充套件，立體防禦（見圖2）。需要建立層次化的防禦架構，從業務第一入口的DNS系統開始到運營商防禦、本地的三、四層攻擊防禦、優化作業系統的TCP/IP協議棧，然後到SSL層安全防禦、最後到7層防禦，需要建立立體的防禦體系，且每個防禦層面都需要充分考慮其架構可擴充套件性，架構上需要仔細考量與設計。同時，儘量做到本地和雲端結合，藉助運營商力量解決大流量攻擊問題。

開發介面優化。調整頁面靜態比例，每一個頁面，都有其資源消耗權重，靜態資源，權重較低，動態資源，權重較高。編寫程式碼時，儘量實現優化併合理使用快取技術。儘量讓網站靜態化，減少不必要的動態查詢。

動態統計分析。對訪問頻率異常的頁面進行詳細分析，分析得到不同應用的頁面動態訪問行為模型和基線，而攻擊程式（機器）一般不會按照人的行為進行載入資源。同時，運維人員應對當前系統運行了如指掌，如系統最高負載、系統處理能力，網路頻寬能力等。

加強應急演練。定期組織進行DDos攻擊應急演練，演練的形式不限於沙盤演練還是實操演練。通過演練的方式讓大家熟悉DDos攻擊的應急體系、響應流程，另外通過演練及時總結不足，持續進行優化改進。

提升系統擴容能力。面對網際網路Ddos攻擊，除了採用技術防禦手段進行檢測、清洗和攻擊行為識別以外，仍然有一部分攻擊請求可能會到應用系統，這個時候對應用系統的容量提出了更高要求。此時需要應用系統具備快速擴容交付能力，在一定程度上要具備與攻擊黑產進行“對抗”的能力。

加強人才培養，積極與第三方安全機構合作。加強網路安全人才培養，建立網路安全人才隊伍應對網際網路安全威脅；同時積極與業內第三方安全機構合作，關注最新的惡意IP威脅情報列表，在被攻擊時，直接啟用封堵信譽庫中的惡意IP和境外IP地址，減少被攻擊面。