在營運支援數千個Web應用程式和流媒體服務的大型全球網路時,緩解分布式拒絕服務(DDoS)攻擊是我們日常營運的一部分。 擁有彈性靈活的智能DDoS抵禦平臺對於我們的網路和依賴它的Web服務的營運至關重要。
為了提供這種保護,我們開發了Stonefish,這是我們的DDoS檢測和緩解平臺,可阻止第3/4層攻擊影響我們客戶的Web應用程式。 Stonefish是Edgio邊緣整體安全解決方案的第一層防禦,全年全天候工作,每秒分析數百萬個數據包,對其進行威脅評分,在必要時自動採取措施,並接受我們的支援團隊的監控,以便他們可以在需要時實時執行額外的分析和緩解措施。
結合Edgio的Web和API保護(WAAP)解決方案,Edgio提供了在我們整個邊緣網路中每臺伺服器上執行的統一多層安全性。 Edgio WAAP包括訪問控制規則(ACL),API安全,應用程式層DDoS保護,高級爬蟲程序管理,自定義安全規則以及託管安全規則。 每個請求都由這些復雜的安全層以最小的延遲處理。 我們很榮幸能夠將此作為一站式服務提供給我們的客戶,以檢測和緩解我們平臺後的所有Web應用程式的第3/4層和第7層攻擊,同時通過單一控制面板提高其網站的性能和可靠性。
石匠設計目標
Stonefish是一種DDoS緩解平臺,旨在保護我們的網路和基礎設施以及在其上執行的所有關鍵客戶服務。 我們開發了DDoS安全堆棧,混合使用開放原始碼和自定義軟體,可在每個入網點(POP)上執行,從而提供高度可擴展的自動化DDoS平臺,從而增強了我們一線支援團隊提供DDoS緩解支援的能力。
我們設計Stonefish的目的是:
- 在數秒內檢測並過濾出不良流量。
- 防範各種DDoS攻擊,從容量攻擊到狀態耗盡,跨越OSI第3層和第4層(我們的整體WAAP涵蓋了第7層攻擊)。
- 利用我們現有的網路架構與軟體定義的檢測和緩解策略相結合。
- 可通過基於雲的單一平臺的玻璃控制面板進行部署(帶有可用的管理API)
- 除了自動實時創建規則以應對攻擊之外,還能在全球範圍內幾乎實時地對所有POP有效更新規則和實施策略。
我們的努力帶來了一個全自動化的系統,它可以檢測和阻止絕大多數DDoS攻擊,從而增強安全性並讓您高枕無憂。
石頭建築
對Stonefish採用軟體定義的方法,使我們能夠將DDoS抵禦措施放在分布式基礎設施上,使全球網路中的每個流量都能發揮淨化中心的作用,檢測並過濾不良流量。 Stonefish採用模塊化軟體體系結構構建,使我們能夠輕鬆地向系統添加功能,以應對不斷變化的威脅環境,而無需使用任何專用硬體。
Stonefish利用我們龐大的全球Anycast網路。 全球分布的Anycast網路使我們能夠將惡意流量路由到最近的PoP。 這使我們能夠在攻擊源附近的邊緣抵禦任何攻擊,然後才能到達客戶的網絡和數據中心。 緩解是無縫的,因此大多數情況下,客戶都不知道自己正遭受攻擊。 同時,我們的服務始終處於開啟狀態,使用源IP地址/埠,目標IP/埠和數據包欄位等值來識別潛在攻擊,並在攻擊造成任何損害之前予以阻止。
采樣和評分
Stonefish會對所有傳入的網路流量進行取樣和分析。 評分系統用於確定惡意的嚴重性並自動阻止不良通信。 分析結果也會傳送至我們全年無休的SOC,並評估是否需要採取進一步行動。 工作原理如下。
- 客戶端向面向Internet的應用程式發送內容請求。
- 我們的路由器收到請求並將其路由到我們的負載平衡基礎設施。
- 將流量樣本從負載平衡器發送到Stonefish。
- Stonefish分析流量並對其進行評分。
- 如果發現惡意流量,Stonefish會向負載平衡器發送指令,以便根據Stonefish識別的信號丟棄流量。
- Edgio的SOC將收到攻擊通知,並將在需要採取進一步行動時跟進。
增強了Stonefish
我們最近增強了我們的分布式搜尋和分析引擎,使其使用Elasticsearch,這種功能現在為Stonefish的“大腦”提供了動力。 通過自定義軟體應用程式持續分析Elasticsearch數據以了解數據包指標的變化。 我們的軟體檢索時間間隔的分數,並將其與以前的間隔進行比較,以發現異常或超出範圍的更改。 每個協議都有自定義查詢和檢測邏輯,以便盡可能準確地識別TCP,UDP或ICMP數據包。 此外,過去幾年,我們一直在投資XDP (快速數據路徑)技術,並更新了要在XDP層進行的數據包采樣。 我們還利用XDP中的高性能,可編程數據路徑更有效地丟棄攻擊數據包。
我們的SOC和Stonefish如何協同工作
Stonefish是SOC從安全性和性能角度監控應用程式的眾多工具之一。 它內置在儀表板中,可實時提醒我們的支援團隊復雜攻擊。 雖然Stonefish會自動封鎖DDoS攻擊,但它也設定為針對異常狀況發出警示,讓我們的SOC專家參與調查並採取行動。
DDoS抵禦包含在我們的每個服務計劃中。 客戶可以通過電話或電子郵件24x7x365聯繫我們的支援團隊以獲得DDoS幫助。 增強的DDoS攻擊支援和升級不需要專門的安全服務費率或級別,包括主動緩解和DDoS贖金情況下的客戶支援。 如果您受到攻擊,Edgio也不會收取更多的費用,為我們的客戶提供可預測的價格(而且沒有意外收費)。
Stonefish可防止大規模DDoS攻擊
2022年6月14日,Edgio阻止了一次規模達~176萬個數據包(Mpps)的大型DDoS攻擊,攻擊目標是一家位於亞洲的跨國電子商務客戶端。 攻擊持續了大約30分鐘,源自歐盟;儘管客戶的基礎設施位於亞洲,我們的Anycast網路仍在歐盟地區快速分散負載並緩解了攻擊。
幾周後,Stonefish檢測到並阻止了一次規模翻倍的攻擊,約為該規模的兩倍 355 Mpps;該客戶是法國領先的組織,未受到影響。 以Mpps為單位,這次攻擊的規模約為有史以來最大的DDoS攻擊的一半。
儘管這次攻擊規模巨大,但我們的客戶並沒有髮現對其源站的影響,因為Edgio的網路吸收了100%的攻擊流量。 我們的24×7 SOC通知客戶,讓他們知道,即使他們不需要採取任何行動。 Edgio擁有250 Tbps的帶寬容量,是市場上唯一能夠提供全面應用程式安全性和L3,4/7 DDoS保護的邊緣平臺之一,由我們的託管安全團隊和24×7 SOC提供支援。