DDoS 架构图和白皮书
20 多年来,F5 一直与客户合作,保护他们的应用免受分布式拒绝服务 (DDoS) 攻击。 随着时间的推移,F5 开发了核心产品功能,以帮助应用和服务保持抵御 DDoS 攻击的弹性。 自 2018 年以来,许多备受瞩目的攻击促使服务提供商和托管服务提供商 (MSP)、金融机构和企业重新设计其网络以纳入 DDoS 保护。 F5 与这些客户合作开发了包含云和本地组件的 DDoS 防护参考架构。
该参考架构包括多层内部防御,以保护第 3 层至第 7 层。 网络防御层保护 DNS 和第 3 层和第 4 层。 应用防御层摆脱了网络攻击的干扰,可以利用其CPU资源来保护高层应用。 这种设计使组织能够防御所有类型的 DDoS 攻击,并为组织的数据中心带来好处。 最后,DDoS 保护解决方案的云组件可作为缓解容量耗尽攻击的故障安全措施。
虽然 DDoS 威胁形势在不断发展,但 F5 发现攻击仍然属于以下四种攻击类型:
- 容量限制——基于洪水的攻击,可能发生在第 3 层、第 4 层或第 7 层。 L3-4 处的攻击通常是 UDP 欺骗流量。
- 非对称 — 单边或无状态 UDP 流量。
- 计算型——旨在消耗 CPU 和内存的攻击,通常通过 TCP 在 L7 进行。
- 基于漏洞的攻击——利用软件漏洞的攻击。
防御机制已经发展到可以应对这些不同类别,知名组织已经学会以特定的安排部署它们,以最大限度地提高其安全态势。 通过与这些公司合作并对其组件进行微调,F5 开发出了推荐的 DDoS 缓解架构,可以适应特定的数据中心规模和行业要求。
以下 DDoS 保护参考架构是围绕知名的行业组件构建的。 有些可能由其他供应商和供货商提供,但有些是特定的 F5 组件。
图 1 将 DDoS 架构组件映射到它们缓解的四种 DDoS 攻击类别。
| 攻击类别 | 缓解措施 |
|---|---|
| 体积 | 基于云的清理服务 清洗中心(分布式/任播模型) IP信誉数据库 黑洞 Flowspec |
不对称 |
基于云的清理服务 清洗中心(分布式/任播模型) IP信誉数据库 黑洞 Flowspec |
计算 |
application交付控制器 网络防火墙 Web应用防火墙 |
基于漏洞 |
IP信誉数据库 入侵预防/检测系统 (IPS/IDS) application交付控制器 Web应用防火墙 |
图 1: DDoS 缓解组件与攻击类型的对应关系
基于云的 DDoS 清洗服务是任何 DDoS 缓解架构的关键组件。 当攻击者向组织的 1 Gbps 入口点发送 50 Gbps 的数据时,无论多少内部设备都无法解决这个问题。 云服务可以由真正的公共云或组织的带宽服务提供商托管,它通过从可能的好服务中筛选出明显的坏服务来解决问题。
网络防火墙长期以来一直是边界安全的基石。 然而,许多网络防火墙根本无法抵御 DDoS 攻击。 事实上,许多畅销的防火墙都可以被最简单的第四层攻击所禁用。 如果防火墙不能识别和缓解攻击,单纯的吞吐量并不是解决办法。
对于基于第 3 层和第 4 层的安全控制设备,F5 建议架构师选择高容量、具有 DDoS 感知能力的网络防火墙。 具体来说,架构师应该寻求支持数百万(而不是数千)个同时连接,并能够在不影响合法流量的情况下抵御各种攻击(例如,SYN 洪水)。
application交付控制器 (ADC) 提供网络中的战略控制点。 如果选择、配置和控制得当,它们可以显著增强 DDoS 防御。 例如,F5 ADC 的全代理特性通过验证 HTTP 和 DNS 等常见协议来减少计算和基于漏洞的威胁。 出于这些原因,F5 建议使用全代理 ADC。
Web应用防火墙是一个更高级别的组件,可以理解并执行应用的安全策略。 该组件可以发现并缓解应用层攻击,无论是容量激增的 HTTP 洪水攻击还是基于漏洞的攻击。 有几家供应商提供 Web应用防火墙。 然而,为了实现有效的 DDoS 架构,F5 仅建议使用其自己的 Web应用防火墙模块,原因如下:
- F5 Web应用防火墙可以提供反黑客、Web 抓取保护和 PCI 合规性等附加服务。
- F5 客户可以通过结合使用 ADC 和 Web应用防火墙来同时应用应用交付和应用安全策略。
- F5 ADC 卸载并检查 SSL 流量。 通过将其与 Web应用防火墙相结合,客户可以在一个设备中整合 SSL 终止和加密负载的安全分析。
入侵检测和预防系统 (IDS/IPS) 可以在 DDoS 缓解中发挥重要作用。 F5 建议不要将 IDS/IPS 功能部署在单一位置(例如,集成到第 4 层防火墙中)。 相反,IDS/IPS 应该部署在可能需要特定额外保护的后端组件(例如数据库或特定的 Web 服务器)前面的战略实例中。 IPS 也不能替代 Web应用防火墙。 保护基础设施和应用的安全就像剥洋葱一样。 IPS 旨在阻止最上层(协议)的攻击,而 WAF 旨在保护较低层(应用)。
IP 信誉数据库可防止 DDoS 攻击者使用已知扫描程序探测应用以供后续利用和渗透,从而帮助防御非对称拒绝服务攻击。 IP 信誉数据库可能由内部生成,也可能来自外部订阅服务。 F5 IP 信誉解决方案结合了来自开源情报 (OSINT)、F5 数据和第三方源的情报,以提供对恶意域的广泛覆盖。
F5 推荐采用混合云/本地 DDoS 解决方案。 F5 Silverline DDoS Protection(通过 F5 Silverline 云平台提供的服务)将缓解容量攻击。 Silverline DDoS Protection 将分析并删除大部分攻击流量。
有时,DDoS 活动可能包括必须在现场解决的应用层攻击。 这些不对称和计算攻击可以通过网络防御和应用防御层来缓解。 网络防御层由 L3 和 L4 网络防火墙服务以及到应用防御层的简单负载均衡组成。 应用防御层由更复杂(且更耗 CPU)的服务组成,包括 SSL 终止和 Web应用防火墙堆栈。
对于 DDoS 保护架构的内部部署部分,将网络防御和应用防御分开具有显著的好处。
- 网络和应用防御层可以彼此独立扩展。 例如,当 Web应用防火墙的使用量增长时,可以将另一个设备(或刀片)添加到应用层,而不会影响网络层。
- 网络和应用防御层可以使用不同的硬件平台,甚至不同的软件版本。
- 当在应用防御层应用新策略时,网络防御层只能将一部分流量引导至新策略,直到它们得到完全验证。
图 3 显示了提供特定功能所需的组件。 DDoS 防护参考架构的 F5 组件包括:
- Silverline DDoS 保护
- BIG-IP® 原子力显微镜™ (原子力显微镜)
- BIG-IP® 本地流量管理器™ (LTM)
- 带有 DNS Express™ 的 BIG-IP® DNS™
- BIG-IP® 高级 Webapplication防火墙™(Advanced WAF(API 安全 - 新一代 WAF))
| 云 | 网络防御 | application防御 | DNS | |
|---|---|---|---|---|
F5 组件 |
SilverLine DDoS 保护 |
BIG-IP原子力显微镜 BIG-IP LTM |
BIG-IP LTM BIG-IP Advanced WAF(API 安全 - 新一代 WAF) |
带有 DNS Express™ 的 BIG-IP DNS |
OSI 模型 |
第 3 层和第 4 层 |
第 3 层和第 4 层 |
第 7 层 |
DNS |
功能 |
容积清洗 流量仪表盘 |
网络防火墙 第 4 层负载均衡 IP 拒绝列表 |
SSL 终止 Web应用防火墙 二级负载均衡 |
DNS 解析 DNSSEC |
缓解攻击 |
体积洪水 放大 协议允许列表 |
SYN 洪水攻击 ICMP 洪水 畸形数据包 TCP 洪水 已知的不良行为者 |
慢蜂 缓慢的 POST 阿帕奇杀手 RUDY/保持死亡 SSL 攻击 |
UDP 洪水攻击 DNS 洪水 NXDOMAIN 洪水攻击 南宁市 DNSSEC 攻击 |
图 3: F5 组件与 DDoS 缓解功能的映射
虽然多层架构在高带宽环境中更受青睐,但 F5 了解,对于许多客户而言,在低带宽环境中构建多个 DDoS 层可能有些过度。 这些客户正在部署 DDoS 缓解边界设备,将应用交付与网络和 Web应用防火墙服务整合在一起。
这里推荐的做法仍然适用。 对网络和应用防御层的引用可以简单地应用于替代架构中的单一、合并层。
组织面临遭受大规模 DDoS 攻击的风险,这种攻击可能会压垮其面向互联网的入口带宽容量。 为了防御这些攻击,他们可能会改变路由(通过 BGP 路由公告)以将传入流量引导至高带宽数据中心,这些数据中心可以清除恶意流量并将干净的流量发送回组织的原始数据中心。
可能影响选择云 DDoS 提供商的因素包括清洗设施的地理位置、带宽容量、延迟、缓解时间和解决方案价值。 如图 4 所示,DDoS 攻击可能达到数百 Gbps 的带宽消耗,使基础设施面临完全不堪重负的危险。
在某些情况下,当云清洗器在组织数据中心附近没有清洗中心时,可能会增加传入请求的额外时间。 为了减少潜在的延迟,MSP 和其他全球企业应该利用云清洗器,将其战略性地放置在可能受到攻击影响的运营区域内。
保持抵御容量攻击的可用性取决于全球覆盖范围(北美、欧洲和亚洲的数据中心)以及全球 TB 级容量或每个中心数百 GB 级容量。
组织会说,只有在攻击活动之后才能实现云清洗器的真正价值。 决定他们满意度的问题包括:
- 贵吗?
- 假阳性的程度如何?
- 我们是否能够看到并控制合法流量的传输?
当检测到 DDoS 攻击时,组织可以使用 Silverline DDoS Protection Always Available 订阅通过 F5 Silverline 路由流量。 另外,Silverline DDoS Protection Always On 订阅可以始终通过 F5 Silverline 路由流量,以确保组织的网络和应用具有更高的可用性。
Silverline DDoS Protection 有两种主要部署模型:路由模式和代理模式。
路由模式适用于需要保护其整个网络基础设施的企业。 Silverline DDoS Protection 采用边界网关协议 (BGP) 将所有流量路由到其清洗和保护中心,并利用通用路由封装 (GRE) 隧道/L2 VPN/Equinix Cloud Exchange 将干净的流量发送回原始网络。 路由模式对于拥有大型网络部署的企业来说是一种可扩展的设计。 它不需要任何特定于应用程序的配置,并提供了打开或关闭 Silverline DDoS Protection 的简单选项。
代理模式适用于需要保护其应用免受容量密集型 DDoS 攻击但没有公共 C 类网络的企业。 DNS 用于将所有流量路由到 F5 Silverline 清洗中心。 干净的流量通过公共互联网发送到应用原始服务器。
Silverline DDoS Protection 使用的返回流量方法包括:
- GRE 隧道。
- Equinix 云交易所。
- L2 VPN。
- 公共互联网。
图4显示,2019-2020年,全球最大规模DDoS攻击记录被多次打破。 为了达到这样的带宽消耗,这些攻击使用了洪水攻击(例如,ACK、NTP、RESET、SSDP、SYN 和 UDP)以及 TCP 异常、UDP 片段和 CLDAP 反射,从数千条不知情的公共互联网帖子向目标受害者发送攻击。
网络防御层是围绕网络防火墙构建的。 它旨在减轻 SYN 洪水和 ICMP 碎片洪水等计算攻击。 此层级还可缓解体积攻击,直至入口点拥塞(通常为额定管道尺寸的 80% 到 90%)。 许多组织在此层集成其 IP 信誉数据库,并在 DDoS 攻击期间按源控制 IP 地址。
一些组织将 DNS 通过第一层传递到 DMZ 中的 DNS 服务器。 在这种配置中,通过正确的第 4 层控制,他们可以在将 DNS 数据包发送到服务器之前对其进行验证。
对于采用虚拟化优先战略的组织来说,在没有专用硬件的情况下缓解针对其虚拟化基础设施的 DDoS 攻击可能具有挑战性。 在 x86 COTS 服务器上运行的虚拟化安全解决方案通常缺乏定制设备的高性能属性,在许多情况下几乎不可能实现有效的以软件为中心的 DDoS 缓解。
F5 解决这一挑战的解决方案是利用新一代网络接口卡 (NIC)(称为 SmartNIC)来支持 BIG-IP AFM 虚拟版 (VE) 解决方案。 通过对这些 SmartNIC 中的嵌入式高性能 FPGA 进行编程,以在 DDoS 攻击到达 BIG-IP VE 和应用服务器之前检测并阻止它们,F5 能够阻止比任何同类纯软件解决方案大几个数量级的攻击(高达 300 倍),从而保持应用程序在线。 将 DDoS 缓解措施从 BIG-IP AFM VE 卸载到 SmartNIC 不仅可以释放 VE CPU 周期来优化其他安全功能(例如 WAF 或 SSL),还可以将 TCO 降低高达 47%。
作为第 4 层攻击,TCP 连接洪水会影响网络上的任何有状态设备,尤其是不具备 DDoS 防御能力的防火墙。 此次攻击的目的是消耗每个有状态设备中的流连接表的内存。 通常这些连接洪流并没有实际内容。 它们可以被吸收到网络层的高容量连接表中,或者通过全代理防火墙进行缓解。
SSL 连接洪流专门用于攻击终止加密流量的设备。 由于必须维护加密上下文,每个 SSL 连接可能消耗 50,000 到 100,000 字节的内存。 这使得 SSL 攻击变得尤为严重。
F5 建议使用容量和全代理技术来缓解 TCP 和 SSL 连接洪泛。 图7给出了基于F5的网络防火墙的连接容量。
| 平台系列 | TCP 连接表大小 | SSL 连接表大小 |
|---|---|---|
VIPRION 底盘 |
1200万至1.44亿 |
100-3200万 |
高端家电 |
2400万至3600万 |
250万至700万 |
中档家电 |
2400 万 |
400 万 |
低档电器 |
600 万 |
70万至240万 |
虚拟版(带有 SmartNIC VE) |
300 万 |
70万 |
图 7: F5硬件平台的连接能力
应用防御层是 F5 建议部署应用程序感知、CPU 密集型防御机制的地方,例如使用 F5 iRules 的登录墙、Web应用防火墙策略和动态安全上下文。 这些组件通常将与此层的目标 IDS/IPS 设备共享机架空间。
这也是 SSL 终止通常发生的地方。 虽然一些组织在网络防御层终止 SSL,但由于 SSL 密钥的敏感性以及将其保留在安全边界的策略,这种情况不太常见。
递归 GET 和 POST 是当今最有害的攻击之一。 它们很难与合法流量区分开来。 GET 洪水可能会淹没数据库和服务器,还可能导致“反向满管道”。 F5 记录了一名攻击者向目标发送 100 Mbps 的 GET 查询并带出 20 Gbps 的数据。
GET 洪水的缓解策略包括:
- 登录墙防御。
- DDoS 保护配置文件。
- 真正的浏览器执行。
- 验证码。
- 请求限制 iRules。
- 自定义 iRule。
这些策略的配置和设置可以在 F5 DDoS 推荐做法文档中找到。
DNS 是继 HTTP 之后第二大受攻击的服务。 当 DNS 中断时,所有外部数据中心服务(而不仅仅是单个应用)都会受到影响。 这种单点故障,加上通常配置不足的 DNS 基础设施,使得 DNS 成为攻击者的诱人目标。
DNS 服务在历史上一直供应不足。 相当大比例的 DNS 部署都存在配置不足的情况,甚至无法抵御小型到中型的 DDoS 攻击。
DNS 缓存已经变得流行,因为它们可以提高 DNS 服务的感知性能并提供一定的抵御标准 DNS 查询攻击的能力。 攻击者已经转向所谓的“无此域”(或 NXDOMAIN)攻击,这种攻击会很快耗尽缓存提供的性能优势。
为了解决这个问题,F5 建议在 BIG-IP DNS 域名服务前端放置一个称为 F5 DNS Express™ 的特殊高性能 DNS 代理模块。 DNS Express 充当现有 DNS 服务器前端的绝对解析器。 它从服务器加载区域信息并解析每个请求或返回 NXDOMAIN。 它不是缓存,不能通过 NXDOMAIN 查询洪流清空。
通常,DNS 服务作为一组独立的设备存在于第一个安全边界之外。 这样做是为了使 DNS 独立于它所服务的应用。 例如,如果部分安全边界出现故障,DNS 可以将请求重定向到辅助数据中心或云端。 将 DNS 与安全层和应用层分开是保持最大灵活性和可用性的有效策略。
一些拥有多个数据中心的大型企业使用 BIG-IP DNS 与 DNS Express 以及 BIG-IP AFM 防火墙模块的组合在主安全边界之外提供 DNS 服务。 这种方法的主要好处是,即使网络防御层由于 DDoS 而离线,DNS 服务仍然可用。
无论 DNS 是在 DMZ 内部还是外部提供服务,BIG-IP DNS 或 BIG-IP AFM 都可以在 DNS 请求到达 DNS 服务器之前对其进行验证。
以下是参考架构的三个用例,它们映射到三个典型的客户场景:
- 托管服务提供商(移动或固定线路)
- 大型金融服务机构 (FSI) 数据中心
- 企业数据中心
下面的每个用例都包含部署场景图、用例细节的简短描述以及该场景中推荐的 F5 组件。 另请参见图 14 以了解更多尺寸信息。
MSP 数据中心用例旨在为各种应用提供安全性,同时最大化数据中心资源的价值。 投资回报率 (ROI) 对于 MSP 来说至关重要,如果可以的话,他们通常愿意通过一台设备完成所有工作,并且愿意在 DDoS 攻击期间离线。
对于这种用例,MSP 将所有鸡蛋都放在一个篮子里。 它将获得最具成本效益的解决方案,但也将面临最大的可用性挑战。
另一方面,组织通过将具有深厚知识的专业资源集中在单一平台上来提高效率。 F5 提供高可用性系统、卓越的规模和性能以及世界一流的支持,有助于进一步抵消风险。
当然,节省财务成本是这种整合架构的最大优势。 卓越的 DDoS 解决方案使用已在运行的设备来每天提供创收应用。 整合的环境有助于节省机架空间、电力和管理。
| 地点 | F5 设备 |
|---|---|
云 |
Silverline DDoS 保护: 始终订阅 始终可用订阅 |
整合本地层 |
中高端 BIG-IP 设备对 许可证附加组件: BIG-IP DNS 许可证附加组件: Advanced WAF(API 安全 - 新一代 WAF) 许可证附加组件: BIG-IP原子力显微镜 许可证附加组件: BIG-IPapplication策略管理器 (APM) |
图 9: MSP 部署场景的规模建议
大型 FSI 数据中心场景是 DDoS 防护的一个成熟且广受认可的用例。 通常,FSI 会有多个服务提供商,但可能会放弃这些提供商的容量 DDoS 产品而选择其他清洗服务。 其中许多公司可能还会拥有备用云清洗器,作为一项保险政策,以防其主云清洗器无法缓解容量型 DDoS 攻击。
FSI 数据中心通常只有少数公司员工,因此不需要下一代防火墙。
除联邦军事机构外,FSI 拥有最严格的安全政策。 例如,几乎所有金融服务机构都必须在整个数据中心内对有效载荷保持加密。 金融服务机构 (FSI) 拥有互联网上价值最高的资产类别 (银行账户),因此它们经常成为目标 — — 不仅是 DDoS 攻击的目标,也是黑客攻击的目标。 两层内部部署架构使 FSI 组织能够独立于网络层的投资,在应用层扩展其 CPU 密集型、全面的安全策略。
该用例使金融服务机构能够创建抗 DDoS 解决方案,同时保留(实际上是利用)其已有的安全设备。 网络防御层的防火墙继续发挥作用,应用防御层的 BIG-IP 设备继续防止违规行为。
| 地点 | F5 设备 |
|---|---|
云 |
Silverline DDoS 保护: 始终订阅 始终可用订阅 |
网络层 |
VIPRION 底盘(一对) VIPRION 附加组件: BIG-IP原子力显微镜 |
application层 |
中端 BIG-IP 设备 许可证附加组件: Advanced WAF(API 安全 - 新一代 WAF) |
DNS |
中档 BIG-IP 设备(一对) |
图 11: FSI 部署场景的规模建议
企业防DDoS场景与大型金融行业场景类似。 主要区别在于企业在数据中心内确实有员工,因此需要下一代防火墙 (NGFW) 的服务。 他们可能倾向于使用单个 NGFW 作为入口和出口,但这会使他们容易受到 DDoS 攻击,因为 NGFW 并非设计用于处理不断发展或多向量的 DDoS 攻击。
F5 建议企业从 F5 Silverline 等云清理器获取针对容量激增 DDoS 攻击的保护。 在现场,建议的企业架构包括与入口应用流量分开的路径上的较小的 NGFW。 通过使用网络防御层和应用防御层,企业可以利用非对称扩展——如果发现 CPU 紧张,则可以添加更多 F5 WAF 设备。
不同的垂直行业和公司有不同的要求。 通过在两个层级使用 F5 设备,企业架构使客户能够决定在哪里解密(并可选择重新加密)SSL 流量最有意义。 例如,企业可以在网络防御层解密 SSL,并将解密的流量镜像到监控高级威胁的网络分接头。
| 地点 | F5 设备 |
|---|---|
云 |
Silverline DDoS 保护: 始终订阅 始终可用订阅 |
网络层 |
高端 BIG-IP 设备(一对) 许可证附加组件: BIG-IP原子力显微镜 |
application层 |
中端 BIG-IP 设备 许可证附加组件: Advanced WAF(API 安全 - 新一代 WAF) |
DNS |
中档 BIG-IP 设备(一对) |
图 13: 针对企业客户部署方案的规模建议
图 14 显示了可用于满足组织扩展要求的一系列 F5 硬件设备的规格。
| 吞吐量 | SYN 洪水攻击(每秒) | ICMP 洪水攻击 | HTTP 洪水(JavaScript 重定向) | TCP 连接 | SSL 连接 | |
|---|---|---|---|---|---|---|
VIPRION 2400 4刀片机箱 |
160 Gbps |
1.96亿 |
100 Gbps |
350,000 转/分 |
4800 万 |
1000 万 |
10200V 电器 高端家电 |
80 Gbps |
8000万 |
56 Gbps |
175,000 转/分 |
3600 万 |
700 万 |
7200V 电器 中档家电 |
40 Gbps |
4000 万 |
32 Gbps |
131,000 转/分 |
2400 万 |
400 万 |
5200v 电器 低档电器 |
30 Gbps |
4000 万 |
32 Gbps |
131,000 转/分 |
2400 万 |
400 万 |
图 14: F5 DDoS 防护硬件规格。 请参阅用例以获取具体建议。
此推荐的 DDoS 防护参考架构借鉴了 F5 与客户共同抵御 DDoS 攻击的长期经验。 服务提供商通过整合的方法获得了成功。 全球金融服务机构认识到推荐的混合架构代表了所有安全控制的理想位置。 企业客户也正在围绕该架构重新安排和重构他们的安全控制。 在可预见的未来,混合 DDoS 防护架构应继续提供架构师对抗现代 DDoS 威胁所需的灵活性和可管理性。
