中国CDN十五年发展大会7月18日在798召开。以下为演讲嘉宾演讲内容:
胡振勇:各位来宾大家好!我来自360的胡振勇,提到360,大家都众所周知知道360安全卫视,可能更多都认为360是在做PC安全,实际360从2011年开始就已经入手在做网络安全,针对企业的服务。透视我们在2012年年初就推出了360网站卫视,专门针对网站安全防护的工作。但是今天我分享更多是技术方面的交流,当然最后会有一小段广告时间。
在目前网站安全这一块面临几大问题,我列了四大点,一个是入侵和挂马,有自己服务器的同志们都知道经常会出现服务器中病毒,但是服务器中毒和我们自己个人电脑中毒不一样,因为个人电脑可以装360安全卫视或者装其他厂商的杀毒软件,可以做一些防护,但是目前为止还没有一个比较大众的比较好的针对于服务器防护的安全软件。服务器被入侵之后,往往会被拿来攻击别人或者是代理服务器,在我们统计当中大概有三万个IP地址做攻击的。
还有网站的挂马,在正常网站上放一些木马的链接,直接导致我们自己网站的用户被黑掉了,对我们自己本身的网站也是很不好的负面影响。
另外是Web漏洞,刚好昨天爆发出来了漏洞,受影响的覆盖面非常大,昨天我们在拦截到这个漏洞之后又迅速做出反应,在我们拦截中做了添加。
第三类威胁是像DDOS攻击,在360做安全卫视以来拦截到最大的攻击流量达到120G,当时我们也是调用了大量的带宽资源才把这个攻击成功的给防御住。还有像CC攻击,我们碰到大概有30到40万的攻击,目前也可以做一些成功的拦截。还有DNS攻击,就在几周以前大众点评网被人黑掉了。
给大家分享一些数据,我们所统计到2012年的数据,被挂马的业界每个月基本都有几十万到上百万,其中在暑期的时候,像8月份的数据里达到300多万的挂马网页,这些网页背后有几百万甚至更多网民受害。
还有漏洞方面的统计数据,左边的图里讲的是网站漏洞方面,每个月发现的规模也是在几十万到上百万。被篡改的网站也有一些统计,我们所能监测到的数据每个月都有好几千网站被篡改。我们在上个月的时候网站卫视专门推出了一个高校网站安全的统计数据,发现95%的教育类网站都曾经被篡改过。
关于DDOS和CC攻击,DDOS的攻击目前大流量的攻击还是属于特定的攻击小组能够做到,每个月在十几次到二十几次,攻击流量都非常大,基本是10G以上,10G以下在我们这里不监测。CC攻击的次数每个月也是一两万次。
关于DNS的攻击方面,小型的流量攻击是几百兆,现在也发展到好几个G的攻击规模。
说了前面这些数据之后就有一个疑问,为什么现在的攻击这么猖獗?从攻和防的角度来分析有一个观念,攻击相对于防御永远是占有优势,比如攻击者可以在任何时间去发起攻击,每天休息好了攻击你。但是作为一个被动的防御者,因为我不知道黑客什么时候来攻击,所以我必须进行24小时做防御,从工作量来说就不是一个等级。另外对于攻击来说,攻击一次失败对它没有任何影响,但是对防御者来说,我们其中有一次他攻击我们一百次,有一次被入侵了,我们的后果就非常严重。
还有木马产业链,木马产业链现在是非常健全的产业链,它有专门编写木马软件,有专门挖掘网络漏洞,有专门利用这些网站漏洞去别人网站上挂木马的,挂了木马之后就有大量的肉鸡,专门有人在网上销售这种肉鸡,产业链已经形成了分工合作非常完美的产业链。
给大家分享一个数据,在网站上搜Http代理关键词就可以找到300多个关键词,一个买家最近成交一千多笔,光评价是800多条,这个卖家还是三钻的卖家。他卖高速http代理IP就是指一个肉鸡,一块钱可以买三千个,而且可以实现24小时自动提取,自动发货,30天之内就售出5000多件。
根据前面计算一下发起一次网络攻击需要什么样的成本,打一个比方,一个肉鸡用发起100K的攻击流量,现在网络宽带家庭宽带上行可以进行攻击已经达到512K了,这个发行10K的攻击流量,对受害者而言根本就感觉不到。但是我们可以看到一块钱买3000个用一天,一百块钱就可以买到30万个肉鸡,用来发起攻击可以打起30个G的攻击流量。如果我要防住30G的攻击流量,是不是意味着我至少买30个G的贷款呢?防御的成本怎么算,我们算30G带宽一个月是多少钱,一个月就好几十万,而对于一个攻击者而言几百就可以了,所以在优势上很明显。
关于防护方案,它的基本工作原理是对所有用户进行过滤,比如像一个正常用户请求经过防火墙,防火墙做规则过滤,如果通过之后就把请求放过去。同样是黑客的攻击也是可以做检查,如果不通过就阻断掉,这是传统的防火墙。我们现在提出云防火墙的概念,我们在全国各地建设了好多防护节点,把所有网站请求的流量都印象云防护节点,也是所有过滤规则在云放火节点上做过滤,通过过滤之后再返回到真实的原服务器上去。
对前面两种防护方案的对比,传统的硬件防火墙优点是处理能力很强,现在有10G防火墙。因为在前面接入方式里原服务器在防火墙后面,所以对原站的保护能够做的很好。但是这里也有很明显的缺点,要防住攻击就必须要有足够多的带宽,带宽投入成本很高。另外防火墙的设备也不便宜,我们公司也曾经买过,花了几百万,现在在库房里放着。出厂的时候是什么规则,如果有新的攻击方式要升级是很麻烦,如果没有被公开漏洞是没有办法做分析的。
相对于云防护措施,不需要购买带宽,原来网站是10兆,你用10兆就可以了,而且也不用投入硬件,包括最新的攻击方式,包括昨天出现的攻击规则我们都能够实时进行更新,硬件是做不到。另外我们在云防护后面会有一个大的基于分布式计算的平台,有好几千台服务器做计算,我们实时做分析,我们能够主动发现一些没有被披露出来的漏洞。云防护有一个最大的缺陷,它不是直接挡在原站之前,所以没有办法直接对原站进行防护。
360在云防护有一个网站是wangzhan.360.cn,目前是免费的。谢谢大家!
