Home 技術文章 Stonefish–在邊緣實現DDoS抵禦自動化
Applications

Stonefish–在邊緣實現DDoS抵禦自動化

About The Author

Outline

當營運支援數千個Web應用程式和流媒體服務的大型全球網路時,緩解分佈式拒絕服務(DDoS)攻擊是我們日常營運的一部分。 擁有彈性且智慧的DDoS緩解平臺,對於我們的網路運作以及依賴於它的Web服務來說是至關重要的。

爲了提供這種保護,我們開發了Stonefish,這是我們的DDoS檢測和緩解平臺,它可以阻止第3/4層攻擊影響客戶的Web應用程式。 Stonefish是Edgio在邊緣的整體安全解決方案中的第一層防禦,全年無休,每秒分析數百萬個數據包,對威脅進行評分,必要時自動採取措施。 並由我們的支援團隊進行監控,以便他們能夠在需要時實時執行額外的分析和緩解措施。

與Edgio的Web和API保護(WAAP)解決方案結合 使用,Edgio提供了在整個邊緣網路中的每臺伺服器上執行的統一多層安全性。 Edgio WAAP包括訪問控制規則(ACL),API安全,應用層DDoS保護,高級爬蟲程序管理,自定義安全規則以及託管安全規則。 每個請求都由這些複雜的安全層處理,延遲最短。 我們自豪地將此作爲一站式服務提供給我們的客戶,以檢測和緩解位於我們平臺後面的所有Web應用程式的第3/4層和第7層攻擊,同時通過單一控制面板提高其網站的性能和可靠性。

石刻設計目標

Stonefish是一種DDoS緩解平臺,旨在保護我們的網路和基礎設施以及在其上執行的所有關鍵客戶服務。 我們使用開放原始碼和自定義軟體組合開發了 DDoS安全堆棧 ,可在每個存在點(POP)上執行,使我們能夠提供高度可擴展和自動化的DDoS平臺,從而增強我們一線支援團隊提供DDoS緩解支援的能力。

我們設計Stonefish的目的是:

  • 在數秒內檢測並過濾出不良流量。
  • 防禦OSI第3層和第4層(我們的整體WAAP涵蓋了第7層攻擊)的各種DDoS攻擊,從容量攻擊到狀態耗盡。
  • 利用我們現有的網路架構與軟體定義的檢測和緩解策略相結合。
  • 可通過基於雲的單一管理平臺的玻璃控制面板進行部署(具有可用的管理API)
  • 除了自動即時建立的規則,以回應攻擊,在我們所有的POPS中,以近乎即時的方式有效地更新規則,並在全球範圍內強制執行規則。

我們的努力造就了一個全自動系統,可檢測並阻止絕大多數DDoS攻擊,從而提供增強的安全性,讓您高枕無憂。

石制建築

通過對Stonefish採用軟體定義的方法,我們可以將DDoS抵禦措施置於分佈式基礎設施上,從而使全球網路中的每個Pop都能充當淨化中心,從而檢測和過濾不良流量。 Stonefish採用模塊化軟體體系結構構建,使我們能夠輕鬆地爲系統添加功能,抵禦不斷變化的威脅環境,而無需使用任何專用硬體。

Stonefish利用我們龐大的全球Anycast網路。 遍佈全球的Anycast網路使我們能夠將惡意流量路由到最近的POP。 這使我們能夠在攻擊源附近緩解任何攻擊,然後再攻擊到達客戶的網路和數據中心。 緩解措施是無縫的,因此大多數情況下,客戶都不知道他們正在遭受攻擊。 同時,我們的服務始終處於開啓狀態,使用源IP地址/埠,目標IP/埠和數據包欄位等值來識別潛在攻擊,並在它們可能造成任何損壞之前予以阻止。

採樣和評分

Stonefish對所有傳入的網路流量進行採樣和分析。 計分系統用於確定惡意的嚴重程度並自動阻止不良流量。 分析結果也會發送到我們的全年無休SOC,並評估是否需要採取進一步行動。 下面是它的工作原理。

  1. 客戶端向面向Internet的應用程式發送內容請求。
  2. 路由器接收請求並將其路由至負載平衡基礎設施。
  3. 將流量的示例從負載平衡器發送到Stonefish。
  4. 石魚分析並對流量進行評分。
  5. 如果識別出惡意流量,Stonefish會根據Stonefish識別的信號向負載平衡器發送指令,以丟棄流量。
  6. Edgio的SOC會收到攻擊通知,如果需要進一步的操作,將採取後續行動。

Stonefish增強功能

最近,我們增強了分佈式搜尋和分析引擎,使其使用Elasticsearch,該引擎現在爲Stonefish的”大腦”提供了動力。 Elasticsearch數據通過自定義軟體應用程式持續分析數據包度量的變化。 我們的軟體檢索時間間隔的分數,並將其與以前的時間間隔進行比較,以瞭解異常或超出範圍的變化。 每個協議都有一個自定義查詢和檢測邏輯,以儘可能準確地識別數據,如TCP,UDP或ICMP數據包。 此外,我們在過去幾年一直在投資XDP (快速數據路徑)技術,並更新了要在XDP層進行的數據包採樣。 我們還利用XDP中的高性能可編程數據路徑更有效地丟棄攻擊數據包。

SOC和Stonefish如何協同工作

Stonefish是SOC從安全性和性能角度監控應用程式的衆多工具之一。 它內置在儀表板中,可實時向我們的支援團隊發出複雜攻擊警報。 雖然Stonefish會自動阻止DDoS攻擊,但它也配置爲警報異常,這會讓我們的SOC專家進行調查並採取行動。

DDoS抵禦包含在我們的每個服務計劃中。 客戶可以通過電話或電子郵件全天候聯繫我們的DDoS支援團隊。 針對DDoS攻擊的增強支援和升級不需要專門的安全服務速率或層級,包括主動抵禦和在發生DDoS贖金時的客戶支援。 如果您受到攻擊,Edgio也不會收取更多費用,因此我們的客戶可以預測定價(沒有意外收費)。

Stonefish可防止大規模DDoS攻擊

2022年6月14日,Edgio 阻止了一次大規模的DDoS攻擊,其規模爲~1.76億每秒數據包(Mps),攻擊 目標是一家位於亞洲的跨國電子商務客戶端。 攻擊持續了大約30分鐘,來自歐盟;儘管客戶的基礎設施位於亞洲,但我們的Anycast網路仍快速地在歐盟地區傳播負載並緩解了攻擊。

幾周後,Stonefish檢測到並阻止了一次攻擊,這種攻擊是這種規模的兩倍,大約 355 Mpps;該客戶是一家領先的法國公司,沒有受到影響。 以Mpps爲衡量標準,該攻擊規模約爲有史以來最大的DDoS攻擊規模的一半。

儘管這次攻擊規模很大,但對我們的客戶來說,這不是一件事,因爲Edgio的網路完全吸收了攻擊流量,所以它對其來源沒有任何影響。 我們的24×7 SOC通知客戶,讓他們知道,即使他們不需要採取任何行動。 Edgio擁有250 Tbps的帶寬容量,是市場上唯一提供全面的應用程式安全和L3/4/7 DDoS保護的邊緣平臺之一,由我們的託管安全團隊和24×7 SOC提供支援。

結論

作爲處理超過4%網際網路流量的全球最大的邊緣化安全平臺之一,我們每天可以抵禦和 抵禦針對數千個客戶網站的DDoS攻擊

DDoS抵禦只是有效安全防禦的一層,但仍是重要的一層。 我們構建了Stonefish,通過在我們的大型網路邊緣集成智能軟體堆棧,可以檢測和緩解這些威脅,從而自動保護客戶的Web應用程式免受第3層和第4層攻擊。 與我們的服務團隊合作,客戶可獲得主動式DDoS支援,與他們合作,阻止來自所有層的DDoS攻擊。

如果您有興趣瞭解有關Edgio如何幫助您的組織加強網路安全態勢的更多資訊,請立即與我們聯繫,與我們的專家一起安排一次全面的評估。