Home 技术文章 Stonefish–在边缘实现DDoS抵御自动化
Applications

Stonefish–在边缘实现DDoS抵御自动化

About The Author

Outline

在运营支持数千种Web应用程序和流媒体服务的大型全球网络时,抵御分布式拒绝服务(DDoS)攻击是我们日常运营的一部分。 拥有一个灵活,智能的DDoS抵御平台对于我们的网络运营和依赖于它的Web服务至关重要。

为了提供这种保护,我们开发了Stonefish,这是我们的DDoS检测和抵御平台,可阻止第3/4层攻击影响客户的Web应用程序。 Stonefish是Edgio整体安全解决方案的第一层防御,全天候工作,每秒分析数百万个数据包,对威胁进行评分,在必要时自动采取措施, 并由我们的支持团队进行监控,以便他们能够在需要时实时执行额外的分析和缓解措施。

结合Edgio的 Web和API Protection (WAAP) 解决方案,Edgio提供了在整个边缘网络中的每台服务器上运行的统一多层安全性。 Edgio WAAP包括访问控制规则(ACL),API安全,应用层DDoS保护,高级爬虫程序管理,自定义安全规则以及托管安全规则。 每个请求都由这些复杂的安全层以最小延迟进行处理。 我们自豪地将其作为一站式商店提供给我们的客户,以检测和缓解位于我们平台后的所有Web应用程序的第3/4层和第7层攻击,同时通过单个控制面板提高其站点的性能和可靠性。

石匠设计目标

Stonefish是一个DDoS抵御平台,旨在保护我们的网络和基础设施以及在其上运行的所有关键客户服务。 我们使用开放源代码和自定义软件混合开发了 DDoS安全堆栈 ,这些软件在每个接入点(POP)上运行,使我们能够提供高度可扩展的自动化DDoS平台,增强我们的一线支持团队提供DDoS抵御支持的能力。

我们设计Stonefish的目的是:

  • 在几秒钟内检测并过滤掉不良流量。
  • 抵御OSI第3层和第4层(我们的整体WAAP涵盖第7层攻击)上的各种DDoS攻击,从容积攻击到状态耗尽。
  • 利用我们现有的网络架构与软件定义的检测和缓解策略相结合。
  • 可通过基于云的单一管理平台控制面板进行部署(提供管理API)
  • 在全球范围内几乎实时地有效更新规则并强制实施所有POP的策略,此外还可以实时自动创建规则以响应攻击。

我们的努力造就了一个完全自动化的系统,能够检测和阻止绝大多数DDoS攻击,从而增强安全性并让您高枕无忧。

石头建筑

对Stonefish采用软件定义的方法使我们能够在分布式基础设施上抵御DDoS攻击,使我们全球网络中的每一个POP都能充当净化中心,从而检测和过滤不良流量。 Stonefish采用模块化软件架构构建,使我们能够针对不断发展的威胁环境轻松地向系统添加功能,而无需使用任何专用硬件。

Stonefish利用我们庞大的全球Anycast网络。 全球分布的Anycast网络使我们能够将恶意流量路由到最近的Pop。 这使我们能够在攻击源附近的边缘抵御任何攻击,以免攻击到达客户的网络和数据中心。 缓解措施是无缝的,因此在大多数情况下,客户不会意识到自己正在受到攻击。 同时,我们的服务始终处于开启状态,使用源IP地址/端口,目标IP/端口和数据包字段等值来识别潜在的攻击,并在攻击造成任何损害之前予以阻止。

采样和评分

Stonefish对所有传入的网络流量进行采样和分析。 计分系统用于确定恶意行为的严重程度,并自动阻止不良流量。 分析结果也会发送至我们的全天候SOC,并评估是否需要采取进一步措施。 下面是它的工作原理。

  1. 客户端向面向Internet的应用程序发送内容请求。
  2. 我们的路由器接收请求并将其路由到我们的负载平衡基础设施。
  3. 将流量示例从负载平衡器发送到斯托内菲什。
  4. Stonefish分析流量并对流量进行评分。
  5. 如果发现恶意流量,Stonefish会根据Stonefish标识的信号向负载平衡器发送指令,以丢弃流量。
  6. Edgio的SOC收到攻击通知,并在需要采取进一步措施时进行跟进。

增强了Stonefish

我们最近增强了分布式搜索和分析引擎,以使用Elasticsearch,现在,Elasticsearch为Stonefish的”大脑”提供了支持。 Elasticsearch数据通过自定义软件应用程序持续分析数据包指标的变化。 我们的软件检索时间间隔的分数,并将其与先前的时间间隔进行比较,以确定是否有异常或超出范围的变化。 每种协议都有一个自定义查询和检测逻辑,以便尽可能准确地进行识别,例如TCP,UDP或ICMP数据包。 此外,在过去几年中,我们一直在投资XDP (快速数据路径)技术,并更新了要在XDP层进行的数据包采样。 我们还利用XDP中的高性能,可编程数据路径更有效地丢弃攻击数据包。

我们的SOC和Stonefish如何协同工作

Stonefish是我们的SOC从安全和性能角度监控应用程序的众多工具之一。 它内置于仪表板中,可实时提醒我们的支持团队复杂的攻击。 虽然Stonefish可以自动阻止DDoS攻击,但它还配置为警报异常,这会让我们的SOC专家参与调查并采取行动。

DDoS抵御包括在我们的每一个服务计划中。 客户可以通过电话或电子邮件全天候访问我们的支持团队以获得DDoS援助。 针对DDoS攻击的增强支持和升级不需要专门的安全服务费率或层级,包括在DDoS赎金情况下主动缓解和客户支持。 如果您受到攻击,Edgio也不会收取更多费用,为我们的客户提供可预测的定价(无意外收费)。

Stonefish可防止大规模DDoS攻击

2022年6月14日,Edgio 阻止了一个规模为~1.76亿包/秒(Mpps )的大型DDoS攻击,该攻击 的目标是一个位于亚洲的跨国电子商务客户端。 攻击持续了约30分钟,源自欧盟;尽管客户的基础设施位于亚洲,但我们的Anycast网络在欧盟区域内迅速分散负载并缓解了攻击。

几个星期后,斯托内菲什发现并阻止了一个双倍大小的攻击,大约 355 Mpps;该客户是一家领先的法国公司,未受到影响。 当以Mpps为单位进行衡量时,该攻击的规模大约是有史以来最大的DDoS攻击的一半。

尽管这种攻击规模巨大,但对于我们的客户来说,这是一个非事件,因为Edgio的网络吸收了100%的攻击流量,因此没有对其来源产生影响。 我们的24×7 SOC通知客户让他们知道,即使不需要他们采取任何行动。 Edgio拥有250 Tbps的带宽容量,是市场上唯一提供全面应用程序安全和L3/4/7 DDoS保护的边缘平台之一,由我们的托管安全团队和24×7 SOC提供支持。

结论

作为全球最大的支持边缘的安全平台之一,我们处理超过4%的所有互联网流量,每天防御并 抵御针对数千个客户网站的DDoS攻击

DDoS抵御只是有效安全防御的一个层面,但它仍然是一个必不可少的层面。 我们构建了Stonefish来自动保护客户的Web应用程序免受第3层和第4层攻击,方法是在我们的大型网络边缘集成智能软件堆栈,以检测和缓解这些威胁。 通过与我们的服务团队合作,客户可以获得主动DDoS支持,与他们一起阻止来自所有层的DDoS攻击。

如果您有兴趣了解更多有关Edgio如何帮助您的组织加强其网络安全状况的信息,请立即联系我们,安排我们的专家进行全面评估。

Tags

Just For You