Angry Birds 等游戏 DDoS 防 护和安全策略的云上最 … › sides-share › AWS...company...
Transcript of Angry Birds 等游戏 DDoS 防 护和安全策略的云上最 … › sides-share › AWS...company...
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
王元恺,AWS 解决方案架构师
Angry Birds 等游戏 DDoS 防护和安全策略的云上最佳实践
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
什么是 DDoS 攻击
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
拒绝服务攻击——DoS(Denial of Service)
通过各种手段,使网络服务无法使用或不可用的行为
如果攻击来源单一,
可以简单拦截IP防范
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
分布式拒绝服务攻击——DDoS(Distributed Denial Of
Service)
攻击者会使用大量广泛分布的僵尸网络、肉机等发起对目标的攻击
其来源分布一般比较分散。
因此难以简单防范。
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
什么人被攻击
Source: Arbor Networks, Inc. 2016 WISR Report
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
为什么被攻击?
This message is only for your company. Send this information to your boss.
We have completed network reconnaissance of your infrastructure. We studied the algorithms of your protection against DDoS. We are ready to crash your
servers and disturb normal work of your trading platform.
This is a small part of our power:
L7;
Botnet #1 - https://prnt.sc/kuyt6x - 3 500 000 requests per second.
Botnet #2 - https://prnt.sc/kuyu60 - 450 000 requests per second.
Botnet #3 - https://prnt.sc/kuywzf - 2 000 000 requests per second.
L4;
#1 - https://prnt.sc/kuyxjj
#2 - https://prnt.sc/kuyxx8
#3 - https://prnt.sc/kuyy3r
#4 - https://prnt.sc/kuyyah
Total L4 power now - more than 1.3 TB/S UDP and 240 000 000 packets per second TCP.
We know that you will be able to reflect the attack, but it will take at least 12-24 hours. Undoubtedly you will incur monetary losses.
What we want?
5 BTC (it's just dust for you) to 1Kd4f6NCuk5tBdvcj5und8xxBoSZnxaPsM
Your losses from the attack can be much greater.
We are waiting until October 2.
If you do what we want - we will help you fix some network bugs. If no - we will be forced to act.
We do not say goodbye. TGF6YXJ1cyBIYWNrZXJzISBOb3J0aCBLb3JlYSBQb3dlciE=
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 攻击类型
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 攻击的类型——网络层攻击
数据Data7 应用层
数据传输协议
数据Data6 表示层
数据格式与加密
数据Data5
会话层开始、控制和结束会话
段Segments4 传输层
端到端的网络数据流
数据单位 层
主机层
包Packets3 网络层
源和终点之间建立连接
帧Frames2 数据链路层
单个链路上如何传输数据
比特Bits1 物理层
将信息编码成电或者光
网络层
巨流量DDoS攻击带宽消耗
通过超过你的处理能力的流量来撑爆你的网络
例如,UDP泛洪 (UDP Flood)** 严格意义上来说,UDP属于四层
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 示例——UDP反射攻击
攻击者192.0.2.1
受害者198.51.100.4
源 =198.51.100.4目的=203.0.113.32
NTP DNSSNMPSSDPMemcached
反射器(NTP servers)203.0.113.32
协议 理论BAF
NTP 556
DNS 28.7 ~ 54.6
SSDP 30.8
SNMP 6.3
Memcached 可达数万
带宽放大因子(BAF, Bandwidth Amplification Factor)
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 攻击的类型——传输层攻击
数据Data7 应用层
数据传输协议
数据Data6 表示层
数据格式与加密
数据Data5
会话层开始、控制和结束会话
段Segments4 传输层
端到端的网络数据流
数据单位 层
主机层
包Packets3 网络层
源和终点之间建立连接
帧Frames2 数据链路层
单个链路上如何传输数据
比特Bits1 物理层
将信息编码成电或者光
网络层
状态耗尽DDoS攻击协议耗尽
滥用协议的一些弱点试图压垮系统(如防火墙,负载均衡等)
例如TCP SYN泛洪(SYN Flood)
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 示例——SYN Flood
连接表
SYN
ACK
SYN/ACK
X
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 攻击的类型——应用层攻击
数据Data7 应用层
数据传输协议
数据Data6 表示层
数据格式与加密
数据Data5
会话层开始、控制和结束会话
段Segments4 传输层
端到端的网络数据流
数据单位 层
主机层
包Packets3 网络层
源和终点之间建立连接
帧Frames2 数据链路层
单个链路上如何传输数据
比特Bits1 物理层
将信息编码成电或者光
网络层
应用层DDoS攻击应用消耗
使用格式良好但恶意的请求来规避防御,并消耗应用程序资源
例如HTTP GET泛洪(GET Flood)、DNS查询泛洪(DNS Query Flood)
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 示例——HTTP攻击
Web服务器攻击者
GET
HTTP GET泛洪
慢速攻击 Slowloris
GET GET GET GET GET
G - E - T
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 攻击趋势
巨流量攻击 状态耗尽攻击 应用层攻击
73%巨流量攻击
18%状态耗尽攻击
16%应用层攻击
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
如何缓解 DDoS 攻击
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
Rovio 通过 AWS 为数百万游戏玩家提供一致的服务
Rovio is a Finland-based entertainment media
company and creator of the Angry Birds brand.
With the Angry Birds 2 launch,
we reached 10 million users in
around three days.
• 需要 24*7 全天候不间断服务
• 使用 AWS 支持他们的游戏平台
• 确保可靠的正常运行时间
• 快速扩展以满足游戏发布的需求
• 帮助小型 IT 团队管理复杂的基础架构Mikko Peltola
Senior Manager—Cloud Operations, Rovio
”
“
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
Angry Birds —— 解决方案
Amazon CloudFront + AWS Shield Advanced + AWS WAF
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
Angry Birds —— 延迟测量
46% decrease
45% increase
37% decrease
58% decrease
33% decrease
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
Angry Birds —— 实际效果
• 自2018年2月在生产环境采用该架构,系统稳定延迟降低
• 考虑逐步在每个游戏,区域或客户端应用程序上推进
更多内容:https://www.slideshare.net/AmazonWebServices/how-rovio-
uses-amazon-cloudfront-for-secure-api-acceleration-ctd315-aws-
reinvent-2018
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
规模
AWS
Regiontransit
transit
transit
更大的带宽
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
规模
transitAWS
Region
transit
transit
更多的计算资源
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
规模
transitAWS
Region
transit
transit
更多边缘节点
AWS
Edge
AWS
Edge
AWS
Edge
Route 53
CloudFront
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
规模
transitAWS
Region
transit
transit
攻击被抵挡
AWS
Edge
AWS
Edge
AWS
Edge
攻击者
攻击者
攻击者
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
多样性
Amazon Route 53 - Anycast Striping
Amazon CloudFront Edge Locations
transit
攻击者
AWS
Region
AWS
Edge
AWS
Edge
AWS
Edge
client
client
AWS
Edge
https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
针对 HTTP(S) 的 DDoS 缓解
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
构建抗压架构: 自适应, 自扩展, 层次化
• 使攻击面最小化
• 自动扩展应对攻击
• 保护暴露的资源
• 对服务正常的行为模式了如指掌
• 建立攻击预案
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
使攻击面最小化
web app
server
DMZ public subnet
ssh
bastion
NAT
ELBUsers
Admin
Internet
Amazon EC2security group
security group
security group
security group
Frontend private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Backend private subnet
security group
TCP: 3306
MySQL DB
TCP: Outbound
TCP: 22
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
自动扩展应对攻击
ELB
users
security group
DMZ
public subnet
Amazon
Route 53
CloudFront
Edge Location
security group
web app
server
Frontend server
private subnet
DDoS
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
保护暴露的资源
• OWASP Top 10
• 限速机制
• 白名单/ 黑名单
• 自扩展的WAF层
• 学习引擎
Web Application Firewall 检测并过滤应用层流量HTTP & HTTPS
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
定制AWS WAF规则
即用型保护
SQLi
XSS
第三方黑名单列表 HTTP泛洪保护
定制的保护
灵活的规则引擎 大小约束规则,正文检查,
字符串匹配 100K入口黑名单 ~1分钟更新时间
以Lambda为基础的保护 开源GitHub存储库
预配置的规则和教程https://aws.amazon.com/waf/preconfiguredrules/
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
对服务正常的行为模式了如指掌
• CPU utilization
• Data transfer
• Disk utilization
• Requests / failures (400s)
• Connections
• Duration of connections
Create Alarms
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
AWS Shield Standard
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
AWS内置DDoS保护
防止最常见的基础架构攻击
SYN / ACK泛洪,UDP泛洪,
反射攻击等
无需额外费用
DDoS缓解
DDoS攻击
正常用户
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
AWS Shield Advanced托管的DDoS防护
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
24x7 DDoS响应团队
受到攻击前
主动咨询和最佳实践指导
受到攻击时
攻击缓解
受到攻击后
详细分析报告
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DRT团队参与
CloudFrontDDoS
attack
Users
BlackWatch
DDoS
mitigation
API
GatewayRoute 53
边缘站点
AWS WAF
DDoS
Response
Team
Int
内部工具
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
攻击通知和报告
攻击监控和检测
• 通过Amazon CloudWatch实时通知攻击
• 针对攻击取证的近实时指标和数据包捕获
• 历史攻击报告
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
DDoS 费用保护
AWS承担因为DDoS攻击产生的扩展成本
• Amazon CloudFront
• Elastic Load Balancer
• Application Load Balancer
• Amazon Route 53
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
AWS Shield Advanced
始终在线监控和检测
先进的L3/4和L7 DDoS保护
攻击通知和报告全天候访问DDoS响应小组
AWS账单保护
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
针对自定义TCP和UDP的DDoS缓解
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
常见的游戏服务的攻击点
后台服务
• 用户认证
• 会话发现
• 匹配系统
• 排行榜
• 队伍
• 文字 & 语音聊天
• 内容分发
游戏服
• 游戏服务器
• 实时游戏会话
• 游戏代理服务器
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
普通玩家 游戏客户端
玩家数据访问
配对和会话发现
连接到游戏服务器
会话请求
请求操作 - 登录,游戏会话,配对等
游戏会话结果和玩家技能更新
玩家数据库后台服务服务器
数据中心
会话存储会话发现/
管理服务器
游戏服
攻击者 被控制的设备
攻击者 被控制的设备
会话数据访问
常见的游戏服务的攻击点
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
游戏服务器的攻击类型统计
资料来源:http://gad.qq.com/article/detail/41670
针对游戏服,更难发起应用层(7层)攻击
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
AWS对于EIP提供纯TCP服务,防护能力如下
• 免费的UDP泛洪和反射攻击防护,以及ICMP泛洪
• 单机提供很高的小包吞吐能力吸收SYN泛洪,ACK泛洪
• 使用Network Load Balancer可以有更强的防护能力,保护后端服务
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
纯TCP协议的Game Server
• 正确设置安全组及VPC Network ACLs,禁用UDP/ICMP以及用不到的TCP端口
• SYN Flood防护,只需正确设置SYN Cookie
• Amazon Linux 1 & 2 默认打开SYN Cookie,其他 Linux 可以手动打开
• AWS Shield Advanced能够提供SYN限速的功能
• 使用NLB可以帮助支撑更多的SYN Flood流量,更大的吞吐和包处理能力
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
AWS Shield Advanced提供弹性IP级别的保护
• 在关联到面向 Internet 的 EC2 实例或 NLB 的 AWS 弹性 IP 地址上启用 AWS
Shield Advanced
• 弗吉尼亚北部、俄勒冈、俄亥俄、加利福尼亚北部、爱尔兰、法兰克福、东京和悉尼
• 指定端口,针对来源IP进行限流
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
客户构建的云原生解决方案
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
Amazon API
Gateway游戏客户端
客户端连接到专用游戏服务器 独立的游戏服务器
AWS
LambdaAmazon
DynamoDB
会话管理操作
AWS Cloud
AWS
Lambda
请求持久化
会话请求
Amazon
Route 53 –
GeoDNS
Routing
Amazon
CloudFront
AWS WAFAWS Shield
弹性 IP
自动WAF解决方案
VPC
Flow
Logs
访问日志 AWS
Lambda
VPC
公有子网
VPC
流量日志
更新规则
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
Amazon API
GatewayGame Clients
客户端连接到专用游戏服务器 独立的游戏服务器
AWS
LambdaAmazon
DynamoDB
会话管理操作
AWS Cloud
AWS
Lambda
请求持久化
会话请求
Amazon
Route 53 –
GeoDNS
Routing
Amazon
CloudFront
AWS WAFAWS Shield
弹性 IP
自动化安全组解决方案
VPC
Flow
Logs
访问日志
AWS
Lambda
修改安全组/ACL
VPC
公有子网
VPC
流量日志安全组规则
/NACLs
修改安全组/ACL
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
弹性 IP
(9.10.11.12)
游戏客户端
独立的游戏服务器Game
Server
AWS Cloud
弹性 IP
(5.6.7.8)
独立的游戏服务器
弹性 IP
(1.2.3.4)
独立的游戏服务器
游戏客户端
攻击者 弹性 IP
(1.2.3.4)
VPC
AWS
Lambda
VPC
流量日志
Amazon
CloudWatch
AWS Shield
蜜罐保护
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
Game Clients
Dedicated
Game Server
(5.6.7.8)
AWS Cloud
Region A
Dedicated
Game Server
(9.10.11.12)Game Clients
AttackerDedicated
Game Server
(1.2.3.4)
Amazon
GameLift
Fleet
Amazon GameLift将尝试放置会话,直到服务器已满或无响应
一旦Amazon GameLift检测到Fleet中的会话数量较少,它将添加另一个实例。
Game Lift的解决方案
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
GDPR
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
GDPR 保护个人信息
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
AWS 提供什么
§§§
§
海量的工具和服务
合规框架
合作伙伴网络
数据保护合同
https://aws.amazon.com/compliance/gdpr-center/
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
所有AWS服务现在都已GDPR就绪
Today, I’m very pleased to announce
that AWS services comply with the
General Data Protection Regulation (GDPR).
This means that, in addition to benefiting
from all of the measures that AWS already
takes to maintain services security,
customers can deploy AWS services
as a key part of their GDPR compliance
plans.
by Chad Woolf on 26 MAR 2018https://amazonaws-china.com/cn/blogs/security/all-aws-services-gdpr-ready/
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
达到您的安全目标
AWS 基础服务
AWS 全球基础设施
您自己的认证评估
您自己的相关认证
您的外部审计
减少了您的工作量
更专注,获得更好的结果
建立在AWS高度一致的基础控制之上
GDPR
行为规范
客户
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
AWS Partner Network (APN)与GDPR
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
谢谢!
AWS 中国(宁夏)区域由西云数据运营AWS 中国(北京)区域由光环新网运营
我们希望您喜欢今天的内容!也请帮助我们完成反馈问卷。
欲获取关于 AWS 的更多信息和技术内容,可以通过以下方式找到我们:
微信公众号:AWSChina
新浪微博:https://www.weibo.com/amazonaws/
领英:https://www.linkedin.com/company/aws-china/
知乎:https://www.zhihu.com/org/aws-54/activities/
视频中心:http://aws.amazon.bokecc.com/
更多线上技术活动:https://aws.amazon.com/cn/about-aws/events/webinar/
感谢参加 AWS 在线研讨会