在运营支持数千个Web应用程序和流媒体服务的大型全球网络时,缓解分布式拒绝服务(DDoS)攻击是我们日常运营的一部分。 拥有弹性和智能的DDoS抵御平台对于我们的网络运营和依赖它的Web服务至关重要。
为了提供这种保护,我们开发了Stonefish,这是我们的DDoS检测和抵御平台,可阻止第3/4层攻击影响客户的Web应用程序。 Stonefish是Edgio的边缘整体安全解决方案的第一层防御,全天候工作,每秒分析数百万个数据包,对其进行威胁评分,在必要时自动采取措施,并由我们的支持团队监控,以便他们可以在需要时实时执行额外的分析和缓解措施。
结合Edgio的Web和API保护(WAAP)解决方案,Edgio提供了统一的多层安全性,可在我们整个边缘网络中的每台服务器上运行。 Edgio WAAP包括访问控制规则(ACL),API安全,应用层DDoS保护,高级爬虫程序管理,自定义安全规则以及托管安全规则。 每个请求都由这些复杂的安全层以最小的延迟处理。 作为一站式服务,我们非常自豪地为客户提供此服务,以检测和缓解位于我们平台后面的所有Web应用程序的第3/4层和第7层攻击,同时通过单一控制面板提高其网站的性能和可靠性。
Stonefish设计目标
Stonefish是一个DDoS抵御平台,旨在保护我们的网络和基础设施以及在其上运行的所有关键客户服务。 我们使用在每个入网点(POP)上运行的开放源代码和自定义软件混合开发了我们的DDoS安全堆栈,使我们能够提供高度可扩展和自动化的DDoS平台,从而增强我们的一线支持团队提供DDoS抵御支持的能力。
我们设计Stonefish的目的是:
- 在几秒钟内检测并过滤出不良流量。
- 抵御OSI第3层和第4层(我们的整体WAAP涵盖了第7层攻击)的各种DDoS攻击,从容积攻击到状态耗尽。
- 利用我们现有的网络架构与软件定义的检测和缓解策略相结合。
- 可通过基于云的单一玻璃控制面板进行部署(具有可用的管理API)
- 高效更新规则,并在全球范围内近乎实时地在我们所有POP中实施策略,此外还可以实时自动创建规则以响应攻击。
我们的努力促成了一个完全自动化的系统,该系统可检测并阻止绝大多数DDoS攻击,从而增强安全性,让您高枕无忧。
石头建筑
对Stonefish采用软件定义的方法,使我们能够在分布式基础设施上实施DDoS抵御,使我们全球网络中的每个流行设备都能充当净化中心,检测和过滤不良流量。 Stonefish采用模块化软件架构构建,这使我们可以轻松地在不断变化的威胁环境中为系统添加功能,而无需使用任何专用硬件。
Stonefish利用我们庞大的全球Anycast网络。 全球分布式Anycast网络使我们能够将恶意流量路由到最近的流行音乐网络。 这使我们能够在攻击源附近的边缘缓解任何攻击,然后才能到达客户的网络和数据中心。 缓解是无缝的,因此大多数情况下,客户都不知道自己正受到攻击。 同时,我们的服务始终处于开启状态,使用源IP地址/端口,目标IP/端口和数据包字段等值来识别潜在的攻击,并在可能造成任何损害之前予以阻止。
采样和评分
Stonefish对所有传入的网络流量进行采样和分析。 评分系统用于确定恶意程度并自动阻止不良流量。 分析结果也会发送至我们的24x7x365 SOC,并在需要采取进一步措施时进行评估。 下面是它的工作原理。
- 客户端向面向Internet的应用程序发送内容请求。
- 路由器接收请求并将其路由到负载平衡基础设施。
- 流量样本从负载平衡器发送到Stonefish。
- Stonefish分析流量并对流量进行评分。
- 如果发现恶意流量,Stonefish会向负载平衡器发送指令,以根据Stonefish标识的信号丢弃流量。
- Edgio的SOC收到攻击通知,如果需要采取进一步措施,将继续跟进。
Stonefish的增强功能
我们最近增强了分布式搜索和分析引擎,以使用Elasticsearch,它现在支持Stonefish的”大脑”。 通过自定义软件应用程序不断分析Elasticsearch数据以了解数据包指标的变化。 我们的软件检索时间间隔的分数,并将其与之前的间隔进行比较,以了解异常或超出界限的变化。 每个协议都有一个自定义查询和检测逻辑,以便尽可能准确地识别TCP,UDP或ICMP数据包。 此外,我们在过去几年中一直在投资XDP (Express Data Path)技术,并更新了在XDP层中完成的数据包采样。 我们还利用XDP中的高性能,可编程数据路径更有效地丢弃攻击数据包。
我们的SOC和Stonefish如何协同工作
Stonefish是我们的SOC用于从安全性和性能角度监控应用程序的众多工具之一。 它内置于仪表板中,实时提醒我们的支持团队复杂的攻击。 虽然Stonefish可以自动阻止DDoS攻击,但它也可以配置为对异常情况发出警报,这会让我们的SOC专家进行调查并采取措施。
DDoS抵御包括在我们的每一个服务计划中。 客户可以全天候通过电话或电子邮件联系我们的DDoS支持团队以获得DDoS帮助。 针对DDoS攻击的增强支持和升级不需要专门的安全服务费率或级别,包括在发生DDoS勒索时主动抵御和客户支持。 如果您受到攻击,Edgio也不会收取更多费用,为我们的客户提供可预测的定价(且不会产生意外费用)。
stonefish可防止大规模DDoS攻击
在2022年6月14日上,Edgio阻止了一次规模为每秒~1.76亿数据包(Mpps)的大型DDoS攻击,该攻击的目标是一家位于亚洲的跨国电子商务客户端。 攻击持续了大约30分钟,源自欧盟;尽管客户的基础设施位于亚洲,但我们的Anycast网络快速分散负载并缓解了攻击在欧盟地区的影响。
几个星期后,Stonefish检测到并阻止了一个规模翻了一番的攻击,大约 355 Mpps;该客户是一家领先的法国组织,未受到影响。 该攻击的规模约为有史以来最大的DDoS攻击(以Mpps为单位)的一半。
尽管此攻击规模庞大,但对于我们的客户而言,这是一个非事件,Edgio的网络吸收了100%的攻击流量,因此没有对其来源产生影响。 我们的24×7 SOC通知客户,即使他们不需要采取任何行动,也让他们知道。 Edgio拥有250 Tbps的带宽容量,是市场上唯一提供全面应用程序安全和L3/4/7 DDoS保护的边缘平台之一,由我们的托管安全团队和24×7 SOC提供支持。
