若是全球的沙子都对你发起DDoS攻击，如何破？

IPv6已来

2016年6月1日开始,苹果规定全部提交至AppStore的应用必须兼容IPv6-only标准。能够预计，2018年末会有大量互联网资源、上网用户使用IPv6协议。这意味着，若是一个互联网服务不能支持IPv6，将失去大量用户流量。

2017年末，中共中央办公厅、国务院办公厅印发了《推动互联网协议第六版（IPv6）规模部署行动计划》，要求到2018年底，IPv6活跃用户数达到2亿，并要求国内用户量排名前50位的商业网站及应用支持IPv6。IPv6成为国家战略。

随着IPv6时代的到来，IPv6网络下的攻击开始出现。2018年初，Neustar宣称受到了IPv6DDoS攻击，这是首个对外公开的IPv6 DDoS攻击事件。thc-ipv六、hping等IPv6的DDoS攻击工具也开始在互联网上出现。

2018年11月，淘宝、优酷的双十一首次跑在IPv6上。同时，阿里云云盾建成国内首家IPv6 DDoS防护系统，支持秒级监控、防护海量IP，为淘宝、优酷云上业务提供IPv4+IPv6双栈DDoS自动防御。双11期间，双栈防护系统拦截5000屡次DDoS攻击，最大攻击流量达到397Gpbs。

IPv6时代，网络安全面临新的挑战

虽然IPv4下的防护系统已经很是成熟，但系统并不能直接用于IPv6防御，须要全链路重构支持IPv6。从流量监控、调度、清洗、黑洞都须要从新适应IPv6的新网络环境。此外，因为IPv6协议的新特性，可能会被黑客用于DDoS或DoS攻击：

 ●  IPv6的NextHeader新特性可能被黑客用于发起DoS攻击，好比Type0路由头漏洞，经过精心制造的数据包，可让一个报文在两台有漏洞的服务器之间“弹来弹去”，让链路带宽耗尽，也能够绕过源地址限制，让合法的IP反弹报文；
 ●  IPv6新增NS/NA/RS/RA，可能会被用于DoS或DDoS攻击；
 ●  IPv6支持无状态自动配置，同时子网下可能存在很是多可以使用的IP地址，攻击者能够便利的发起随机源DDoS攻击；
 ●  IPv6采用端到端的分片重组机制，若是服务器存在漏洞，可能会被精心伪造的分片包DoS攻击。

与此同时，IPv6下攻防态势也产生新的变化。IPv6提供海量的地址，一个IDC就可能申请到很是大的可用地址块，这对源IP频率和限速类的防护算法来讲简直是噩梦。特别是应用层的DDoS：HTTP Flood、刷票、爬虫将变得更加难以防护。此外，随着自动驾驶汽车、物联网设备、移动终端等愈来愈多的智能设备入网，这些设备一旦被入侵均可能成为发起DDoS的僵尸网络，产生海量的攻击报文。

DDoS攻击每每是出于商业利益，据阿里云发布的《2018上半年网络安全报告》显示，游戏、移动应用、电子商务等竞争激烈的领域是DDoS攻击的重点阵地。随着企业业务切到IPv6协议，IPv6下的DDoS攻击在一段时间里会很是有效，由于不少企业并无作好IPv6 DDoS防护的准备，对攻击者来讲能够轻易达成攻击目标。此时IPv6下的DDoS攻击会逐步热门起来，成为不少企业的阿喀琉斯之踵。

阿里云IPv6DDoS防护最佳实践

针对挑战和变化须要解决的问题：

 ●  网络和DDoS防护系统须要改造甚至重构支持IPv6。
首先，虽然IPv4网络已经很是成熟，但到了IPv6网络，现有的不少企业网络、服务器网络的大部分都须要更换设备和从新开发系统，才能支持IPv6网络以及IPv6网络下的安全防御；
部分企业寄但愿运营商会提供平滑的过渡方案，但运营商只会对运营商网络边界内进行改造升级，企业若是须要支持IPv6，是须要自身进行改造升级的。
 ●  IPv6的地址总量是IPv4的2的96次方倍，系统须要更强大的处理性能才能支持海量的IP的安全防护。
 ●  针对大流量DDoS，须要创建运营商级别的IPv6黑洞能力。
 ●  防护算法和防护模式都须要适应IPv6的新挑战。
 ●  在业务切换到IPv6的同时，须要具有IPv6网络下的安全防御能力。

阿里云如何实现：

1.重构系统支持IPv4+IPv6的双栈DDoS自动防御

a) 流量监控预警系统

流量监控预警系统须要支持IPv6和IPv4，同时检测双栈流量，为了能检测IPv6海量的IP地址，阿里云DDoS系统采用了分布式集群的方式，将流量分散到集群上协做运算，对多个流量指标进行统计，秒级监控流量的异常。

b) 调度系统

对调度系统升级，支持双栈，自动判断IP类型，启动对应防护模式和清洗算法。

c) 清洗系统

从新设计部署了牵引、回注、清洗系统，并制定针对IPv6的清洗算法。

2.运营商级别黑洞能力

不论是IPv4仍是IPv6，当某个IP攻击流量特别大，会致使整个带宽拥塞。不管对IDC机房、云服务商来讲，1个IP被攻击致使全部业务不可用简直是灾难。特别是IPv6网络带宽相对于IPv4还处于建设初期，攻击拥塞风险更大。

阿里云和各大ISP服务商创建IPv6黑洞联动能力，能够在运营商IPv6骨干网丢弃流量，提供安全的云环境。

3.防御模式的升级

a) 针对prefix级别的防护算法：

虽然一个IDC就可能申请到海量的IP地址，但这些IP地址归属的IP地址块不会太多，即便攻击者能够切换海量的IP地址，但在同一个机房的肉鸡IP很难在网段级别离散，经过IP地址网段来统计和分析能够有效减弱IPv6海量地址带来的冲击。

b）协同防护：

在传统IDC和单机安全设备上，一个IP的异常指标可能很是低，很难分析它是攻击仍是正常访问，同时很难判断这个IP是不是NAT或园区出口，结合IPv6的海量IP，攻击者能够进一步下降被识别的可能。但攻击者为了成本和效率，一个IP不可能只攻击一个目标。好比IP X.X.X.X 在DDoS了服务器A以后，可能又去CC攻击了服务器B。在阿里云上，因为规模效应，有海量的IP同时在被防护，全部清洗数据进行了在线化分析，一个IP的行为特征就有了上帝视角，攻击者变得很是明显，全部租户的防护就能够协同做战，威胁情报能够共享。

c) 智能化深度防护：

针对应用层的DDoS攻击，基于频率和限速的模式会愈来愈难防护，假如一个网站能承受1W qps。在IPv6下，攻击者能够很廉价的获取1W个IP，每一个IP每秒发起1次请求，这个网站就会不堪重负。因此，在IPv6下应用层的DDoS攻击防护，更高级的人机识别技术、人机对抗技术将成为主流。目前阿里云已在Web应用防火墙上应用了多种人机对抗技术。

安全建议

对于普通互联网服务提供者来讲，重构、升级系统来支持IPv6须要花费大量的成本，建议利用云服务快速搭建基于IPv6的服务。目前，阿里云已有多款产品支持IPv6，同时以SaaS化的形式提供IPv6 DDoS防御能力，助力企业一秒搭建更高级别的防护能力。

原文连接