云时代,云服务商如何进行黑产防御?

图为 金山云安全技术总监李鸣雷

今天为大家简单分享一下云时代云服务商面临的黑产问题,以及我们的一些经验和积累。

在分享开始之前,我先从我们发现的一次DDoS×××的故事说起。

去年12月19日,我们的两台云主机出现了一次大的网络流量异常。我们发现这两台云主机对外发起了DDoS×××,然后我们的应急团队立即进行了应急响应工作。

首先把这两台云主机隔离出来,然后通过技术手段获取样本,并对样本进行了逆向分析。接着从这个样本的.CC域名控制,到通过威胁情报进行了逆向的分析工作,发现这个僵尸网络确实比较大。

我们对这个僵尸网络进行了以下分析:

从僵尸网络的架构上来看,相对于P2P的×××方式,这些僵尸网络并没有特别出彩的地方,这取决于一个普通的C/S直连的方式。它通过C/S直连的加密协议,直接连到这个控制端,再经过多重的跳转。在云时代,不光是通过C/S直连的方式,还有通过DNS隧道传递数据的方式来对控制端进行连接,这种规模还是相当大的。

而被控端是一个比较常见的方式。僵尸网络获取的主要方式是通过弱口令和一些常见的漏洞,还有的是通过购买云主机来获得。另外就是利用我们的云计算把控制端放在我们的云上,通过云上的设备来进行如IP的变换、域名的变换等操作来隐藏真实的客户端。

云时代,僵尸网络有哪些新特点?

1、 云的资源获取容易

云的资源获取容易,僵尸网络可以按需开通,按时付费。比如可以自己买一台云的资源,而且这些云主机缺乏监管,在云上的价格很低,可以按月来开通。相比传统的方式,在成本上对僵尸网络的拥有者是很大程度的降低。这实际上是大部分的僵尸网络利用了云的可扩展性。

2、 资源容易销毁

资源的销毁会导致取证困难。传统的IPC,物理机是不能销毁的,但在云服务里用户可以彻底撤销云主机。现在公安部也在制定关于云端取证的标准和规定,目的也是为了让运营商可以保留足够的取证的证据。另外,事后取证、溯源和传统的方式不同,也增强了查杀和防御的难度。

3、 云服务商信任度较高

云服务商的域名通常被防火墙或者各种安全策略标记为可信任。如果把恶意软件,或者是控制端放在云上的话,很有可能被对方的防火墙给放掉。这也是云服务商面临的一个新的问题。像×××的控制,他们会利用云服务商的主机来制作、生成和分发这种×××。当然,对于云服务商来说,我们也会对我们的服务进行样本扫描和检测,来发现这种大量传播的恶意×××和脚本。

4、 云服务的漏洞造成资源获取简单

云主机缺乏可靠的登录机制和安全防护,导致×××容易获取到资源。用户从传统的服务器迁移到云上来,因为各个云的安全水平是不一样的,它能提供给用户的安全基线也是不一样的。所以如果用户不了解云防护或者云安全的边界,可能会采用弱口令等方式登录,造成登录方式脆弱。另外,用户还可能暴露一些高危端口。那么,×××会利用这种漏洞和错误的配置来批量***用户的主机。所以云服务商和用户必须共同努力提升自己服务的安全基线,来增强×××获取资源的难度。

5、 云服务自身运营活动缺陷被薅羊毛

云资源的获取可以通过漏洞的方式来非法获取,还有一种是云服务自身的运营活动导致被薅羊毛。比如说我们金山云去年做了一个每月9.9元的大米主机活动,这个活动毫无意外地会招来羊毛党的觊觎。

当天的活动,我们投放的云主机大概有95%被羊毛党薅走,如被羊毛党用来进行DDoS×××、刷票、刷别人的主机,甚至还有挂机的。我们的安全部门对这个活动进行了详查,发现注册了金山云渠道的电话号码大部分都在打码平台上。然后我们和威胁猎人合作,通过×××检测,在注册环节进行严格实名制的检查,云主机得到了正确的防护。这个事件其实就是云服务器自身的运营缺陷给僵尸网络的持有者提供了便利。

面对新的问题,云服务商可以做些什么?

我总结了两种应对方式:一种是被动的方式,一种是主动的方式。

1、 云服务商的对策——被动方式

首先是加强×××获取资源的难度。我们会在云主机上做多重防御,像对服务器的安全及时做好补丁机制,加强云主机的安全基线。当然并不是说云主机加强安全基线就完全避免被×××抓机,但能够提升被抓机的难度和门槛。

其次是注册严格实名制,防止恶意注册和薅羊毛。就是说我们会通过手机号、×××、银行卡和×××的变化检测等来提升实名制验证,严格把控我们注册的用户都是真实的。

最后是增强我们的感知能力。比如DNS检测与全流量检测技术,并结合我们的威胁情报发现潜在×××通信。通过这些方式来综合打造一个被动的防御。

2、 云服务商的对策——主动方式

我们在互联网上部署了蜜罐,主要监控各种×××家族。这些蜜罐通过多区域,国内跨省跨地区,国际上跨国进行部署,可以接收×××指令,确认×××路线。如可以在DDoS×××发起前几分钟之内就能够发现。DDoS从下发指令准备到×××也是需要一定的时间的。因此,主动的探测对于这种×××网络还是很有效的。

总结来说,虽然DDoS的×××方式是一种古老的×××方式,但是在云的时代到来的时候,我们发现×××者也在不断的拥抱新的技术,新的变化,并利用云资源获取的便利性,甚至是匿名性,这些都是云时代僵尸网络的新的特点。所以,在新的时代,从运营商、用户到政府监管部门,需要共同努力来提高自身服务的安全基线,才能做好防御。我今天的分享就到这里,谢谢大家。

原文地址:http://blog.51cto.com/13642687/2130690

时间: 2024-10-06 21:06:07

云时代,云服务商如何进行黑产防御?的相关文章

安全狗服云,拿什么驱散云时代的人人自危?

近日,关于苹果App Store 遭遇大规模信息安全攻击的消息尘嚣甚上,原因是开发者使用了内部被植入了XcodeGhost样本分析病毒的第三方Xcode编译器,导致当受感染的应用被用户下载安装后,会偷偷上传软件包名.应用名.系统版本等基本信息.值得注意的是,该病毒同时还拥有更多的权限,这意味着其可以通过钓鱼页面等形式,来骗取iCloud帐号密码,或其他关键信息. 无独有偶,今年6月,来自美国和中国的研究人员也提到,他们在苹果iOS和OS X操作系统里发现了一系列安全漏洞,可以非法获取其他应用保存

安全狗:云时代的服务器安全守护者

受访者简介:陈奋,厦门服云信息科技有限公司 CEO,国内知名互联网安全品牌安全狗创始人.从2004年涉足信息安全领域以来,在网络安全.数据安全方面都有深入的研究,共获得3项安全领域的个人发明专利.2012年带领团队推出免费的服务器安全软件--安全狗,获得2012年最佳互联网安全产品奖:截至目前安全狗已拥有超过百万级用户.2013年推出全国首创的云+端安全理念产品,安全狗·服云,并获得2013年CIO最信赖解决方案奖以及2014年最佳云解决方案奖,成为云安全领域新锐的互联网安全公司. InfoQ:

为云时代而生的“移动应用云”

云服务的发展进入了突破期,但是仍属于相对初级阶段.优质垂直云服务(云应用)的发展,成为带动云服务普及的关键.真正的垂直云服务,一定要解决特定问题.不过市场上不乏浑水摸鱼者,找一个新概念,将传统IaaS或PaaS服务进行包装,就号称某个领域的全新云服务. “移动应用云”作为垂直云服务的代表,以云计算为基础,构建在PaaS层和SaaS层中间,专注为移动应用提供集成化的API服务,同时将移动应用开发技术“云化”,以服务的形式提供给开发者. API和移动应用云的关系 移动技术架构属于典型的“三层架构”体

小鸟云裸金属服务器全新上线 引领云计算虚拟化与裸金属云时代

近期,小鸟云在官网悄悄上线了一款新型云产品:裸金属服务器,这款新型云产品结合了与计算虚拟化与传统物理机双重优势,能带给用户高性能的云计算使用体验 .同时,小鸟云也借此产品表示将全面开启虚拟机到裸金属云时代,为全行业客户上云提供快速通. 独家计算优势--提供从通用到极致的性能选择 1.基础高性能计算支持 为高性能计算业务要求提供海量并行计算资源和高性能的基础设施服务,针对高计算,高吞吐的场景特点,提供最新Intel CPU的计算实例,结合100G IB网络,带来低时延的性能体验:可以为部署企业官网

APM,云时代的应用性能优化神器

我们都知道,当今的时代是一个新技术蓬勃发展的时代:大数据.云计算.移动互联网.物联网--作为应用服务开发者的我们,有了很多很好的选择:我们的传统的应用基础架构也开始向云端迁移:我们看一下,现在企业应用IT架构是什么样? 很典型,从用户一直到硬件,很立体的六个层面,从用户到CDN,到防护墙,防护墙内有一堆的服务器,跑的是你的代码,还有一堆的硬盘做数据存储,这是咱们传统企业的应用架构.到了云的时代,因为我要讲的是云时代的APM,架构就变成这样了,后端防火墙的一些东西都隐化了,到了云时代背后的一般都变

活水渠 - 云影院之云时代看片全攻略

本文讨论了大数据时代最热门的两大应用之一的云计算(另一应用是物联网)对网络视频观看体验的具体影响,以及在观看方式上区别于传统下载方式的优点. 一.视频门户类网站 此类网站以优酷.乐视等为代表,主营传统网络视频业务,使用浏览器进行直接点击链接进行观看. 优点:电视节目丰富.观看技术手段简单.大型网站服务器稳定 缺点:看不了热门电影,精华视频要收费,免费用户要看广告 解决:浏览器辅助工具或插件解决收费和广告问题,在此基础上还诞生了视频门户网 站的入口集成网站,每天看云帆可免VIP直接观看主流视频门户

云时代的分布式数据库:阿里分布式数据库服务DRDS

[http://www.csdn.net/article/2015-07-15/2825221] 云时代的分布式数据库:阿里分布式数据库服务DRDS -- 伴随着系统性能.成本及扩展性的新时代需要,以HBase.MongoDB为代表的NoSQL数据库和以阿里DRDS.VoltDB.ScaleBase为代表的分布式NewSQL数据库如雨后春笋般不断涌现出来.本文详细介绍了阿里分布式数据库服务DRDS.

万亿美元向云转型大市场,轻元科技要做云时代的IBM

Gartner预测,到2020年投入在传统IT上的支出直接或间接转移到云上,预计将超过1万亿美元.而全球IT支出有多大规模呢?根据Gartner全球IT支出预测,2017年全球IT支出将达到3.5万亿美元.Gartner全球IT支出预测是对数据中心系统.软件.设备.IT服务和通信服务等主要技术支出的趋势指标,基本上就是传统的企业ICT市场. 那么,Gartner所指的1万亿美元向云转型的支出,到底是公有云.私有云还是混合云?这恐怕就算Gartner自己也能很难判断,因为未来五到十年向云转型的企业

云时代分布式系统演进

作者:潘罡 (Van Pan) @ Microsoft 在上一节中,我们大致了解了分布式系统的整体架构.简而言之,因为单台机器性能总是有限(摩尔定律增长性能速率无法满足实际应用场景的增速),系统架构师通过各种方式将来自用户的请求分散至多个服务系统和服务器协同完成. 而在现今最火热的云时代,微软已经从云服务层面整体解决了所有分布式系统需要考虑和实现的难题. 下面我们将粗粒度介绍微软云Azure中所有和上一节各个环节相关的服务组件.我们会大致介绍其功能,并且在后续章节中详细介绍其使用方法. 动态DN