DDoS攻击趋势研判与企业防护新思路原创

各位尊敬的来宾、合作伙伴、观众朋友们，大家下午好，欢将欢迎大家来到由腾讯安全、电信安全、腾讯云开发者社区联合举办的产业安全公开课。我是今天的主持人，来自腾讯安全DDOS防护团队的陈世生。今天我们很荣幸邀请到了中国电信安全大数据专家贾靖康、腾讯安全地S防护专家孙国景、腾讯安全海外安全产品专家卓立三位专家和大家一起交流的攻击趋势研判以及企业的防护新思路。本次公开课在腾讯安全视频号、中国电信安全视频号、腾讯云开发者社区这三个平台同步直播。同时欢迎。感兴趣的朋友可以扫描屏幕上的二维码进群交流。上个月我们腾讯安全、电信安全、绿盟科技联合发布了2022年上半年DDOS攻击威胁报告，报告得到了行业很多朋友的关注，今天贾靖康博士将作为我们的三方代表为大家分享解读报告和观点。

有请贾博士带来主题分享，从全网角度看地攻击趋势，有请贾博士开始您的分享。诶，好。各位安全领域的同行，各位线上的朋友们，大家下午好，我是来自电信安全公司的贾康，之前呢主要从事大数据相关的研发和分析类工作。今天很高兴到邀请参加这场直播，和大家一起探讨从角度攻的趋势。然后可能大家还不太了解，中国电信呢，也一直在做网络安全。电信安全公司呢？是运营商第一个从事安全产品研发的科技型公司。以云起家，开发了一系列云端一体的安全防护产品，并且多次参加国家的重保工作，承载着国家安全的使命。

然后我今天分享的内容呢，主要分为三个部分。然后第一，呃，首先呢，我们针对2022年上半年观测到的攻击趋势的统计和分析结果做一些讨论和解读。接着我们针对我们观测到的攻击的趋势变化呢，从面到点分享两个实际的攻击案例。第三部分呢，我们对前面内容做一个总结。然后首先是2022年上半年DS攻击趋势的一个解读部分。然后首先呢，我们看一下运营商在DS攻击感知上的一些基础能力。然后从观测视角来看呢，我们可以想象一次典型的攻击过程。我们通常是从DNS的一些异常行为检测开始的。然后我们比如看到一些DNS域名的突发的增长之后呢，我们可以获取攻击端的C，攻击端的那个server IP，也就是我们俗称的C。

通过连接c net进获网络。进一步针对僵尸网络攻击的行为呢进行跟踪和检测。这样的我们在一定程度上具备了这种大网的上帝视角，能够基于图、数据库以及各类算法。基于攻击事件进行一个全链路的跟踪分析和溯源。此外呢，基于分布式全球路由感知能力的。我使我们具备了全世界的这个联通视角，能够在更高层面呢到国家之间的BGP的这种安全事件，例如能够探到一些比如路由劫啊，由泄露之类的事件。然后从数据累积方面来看呢，中国电信2013年进入安全领域以来。依托大数据的能力，不好意思依托大数据能力呢。一直呃对安全的安全数据进行了很长时间，并且多类型数据的一些持续的采集和分析。

此外呢，在具备全网数据以及大量一线的处理经验之后呢，我们能够通过模型进一步学习和抽象整个的攻击模式。然后进一步从已知到未知的攻击发现以及趋势趋势跟踪。好，我们首先从时间角度来看一下整体的攻击趋势。这个呢，是云的网站上的一张图片，可以看到呢，它记录了从2013年开始的整个DDOS的一些攻击的态势变化。然后我们可以看到在这里面20172018年呢，有一个的爆发性增长。从2019年到2021年呢，国家开始了一次大规模的基于网络安全方面的一些专项治理。大量的打击呢，被识别并且切断。另外呢，随着在这几年挖矿行为的兴起。从侧面呢，占用了一些僵尸网络的这种肉鸡的资源。

导致整体的低到低到式攻击呢，出现了一个相对的低谷期。然后看到从今年上半年一月份到六月份呢，在整个国际国内形势相对比较复杂的形势下呢，攻击的数量再次提升，攻击次数突破20万次。又进入到一个相对活跃的一个周期。然后从攻击峰值的变化流量情况来看呢，2022年上半年小于100GBPS峰值流量的攻击次数增加的非常的明显。是去年同期的3.38倍。100G以上的攻击呢，较往年没有见到显著提升，大概在上，呃，上半年呢是8000次左右，平均每天44次。从右面这张图我们也可以看到，上半年的峰值呢，主要发生在今年的四月份和五月份，这两个时间周期，最大的呢连续连续最大的呢达到了1.08TBPS峰值流量。

呃，这一页呢，看一下那个整个DS空气类型的变化，然后我们先看右边这张图。从攻击类型的变化来看呢，我们可以看这个灰色部分，从下往上可以看到SP大攻击。那个占比呢，在逐渐升高。在2022年上半年呢，达到了超过70%。这一方面呢，与智能物联网设备的数量显著增长有关系。另一方面呢，由于SSDP的攻击成本相对低廉，因此它呈现出一个爆发式增长的趋势。而传统的NDPDNS反射放大攻击以及TCP的攻击呢，相对比例下降的比较显比较明显，像这里面的橙色，还有这个绿色。然后左边这张图呢，实际上是显示了整个攻击攻击的那个类型，然后我们可以看到呢，在TOP6类型已经占到了整个攻击数的99.3%。

相对比较集中。然后我们看一下那个在不同流量。分布情况下的攻击类型的占比。然后这里面我们可以看到几个主要的趋势，首先呢，我们看到这个深蓝色的部分。可以看到这个深蓝色的部分，随着攻击峰值流量的增长呢，它的比例也在显著的增高。这说明要想达到一些大流量的攻击呢，需要综合利用各种攻击形式。这种深蓝色相当于是混合攻击的形式，需要综合利用各种攻击形式的攻击的能力。达到这种大把达到大流量的这种攻击。然后第二个我们看这个灰色的部分。灰色的部分呢，我们可以看到它的趋势是随着。这个峰值流量的增加呢，在相对减少。这个呢，对应的是SSDP的攻击。SSDP呢，多出现在这种中低流量的攻击类型上，呈现了一些脉冲段攻击的攻击形式。

然后浅蓝色的攻击，我们看到它的趋势是先增加后减少。这个呢，就是我们传统的传统的TCP的性攻击，它能够支持中高的一些。峰值流量的这种打击，但是呢，在超大流量下，它部分转换成了一些混合攻击，就它这个浅蓝色部分会转换成深蓝色的部分。然后第四个是看这个DNS的这个放大反射，放大攻击呢，可以看到这个绿色的部分，它始终都有，但是始终占比不高。这个可能与电信本省的才采用的一个本地的白名单机制有关系，相当于每个省的IP地址呢。只能够访问。单个省的DNS，其他不能省，所以呢，这可能与一般商业DNS不太一样啊，这个是电信有的一。一个那个机制。然后我们看一下这个攻击的时长。攻击时长呢，我们可以看到它呈现一个比较典型的这个幂律分布，相当于它在log log坐标系下呢，是一个相对的直线。

呃，这而且长尾的趋势比较明显，存在一些持续时间很长的攻击。这个呢，与我们通常大家所知的一些社会财富的分布啊，还有八十二十的定律含义定义大概是一致的。从幼的这个表格来看呢，我们可以看到75%的攻击在三个小时以内。而百分九的攻击呢，在10.7小时以内，也就是说呢，数都不会天在天当天就可完成。然后这个攻击的中位数是那个64.9分钟，但是它的攻击的均值呢，是146.8分钟。可以看到呈现一个明显的右倾的这么一个倾向性。然后这个是在攻击时和攻击手段的一些差异。然后这个图中我们可以看到这个灰色的部分呢。

同样是那个SSDP攻击。他占占比是在。比较小的时间范围内，它的占比是很高的。这主要是因为S呢比较好调用它的时间呢，持续比较它的表。而常识攻击呢，我们还是看到传统的一些UDPTCP这些攻击方式。然后最后我们看一下这个攻击和被攻击区域的这个分布情况。首先从这个面这个图可以看到呢，在今年上半年被攻击的省份达到1000的，一共有六个省份，在这个中呢，分别是浙江，广东，江苏，四川，福建以及重。然后这个浙江的占比呢，非常高的接近一半。然后在右图中呢，我们可以将攻击和被攻击的行为呢在图上以二散点图的形式进行一个展现。其中横轴呢，相当于是这个从攻击视角反馈的是某个省份的这个攻击IP的数量。

而纵轴呢，是从被攻击视角观察每个省份受到的一个攻击次数。呃，整体来看呢，这个攻击和被攻击的这个。分布呢，呈现一个比较强的关联性，它们的这个叫P尔森相关系数达到了0.842。但是分区域来看呢，我们可以看到明显的几个特征。比如右上角的这个广东和江苏省，包括浙江啊，这里因为那个数据量太大，它在右上角是一个孤立点，所以我们把它去掉了，这几个省呢。都属于这种it资产比较丰富，并且容易受到攻击的这个省份。他的攻击和被攻击呢，都遥遥的领先于其他的省份。第二个呢，我们看到一些倾向于被攻击的省份，比如像福建，重庆这种比较靠近外轴，但是远离X轴的这些。省份呢，它的通常呢，它容易受到攻击，但是它发起攻击的数量并不算多，这些呢，都是一些IDC发展比较好的一些省份。

然后其次我们看贴近轴呢，比如像云啊，种具多的资产，但是呢可以可以支持，但对外的服务可能相对比较少，受到的击呢，就比较。最后，我们可以看到靠近原点的一些西部省份。包括这个青海。西藏这几个省，他们本身的那个it并不丰富，所以呢，也不会受到攻击，也没有发起攻击。对，然后上面是一个整个的这个趋势。然后我们来继续看看上半年两个观测到的攻击案例。然后我们前面呢，已经看到今年上半年的SSDP协议，它呈现一个爆发的态势。从我们的观察来看呢，有相当的一部分都呈现出利用的设备去反攻击国的这种趋势。

我们首先来看一下这个攻击的过程。呃，首先第一部分呢，国外的黑客会利用一些他们控制的一些僵尸网络，也就是我们说的呢，国内的设备起一个S的请求。并且呢，伪造了原原地原端地址。这样的话，国内各个省，各个IDC的这个，呃，机器，包括一些物联网的设备，在收到这个请求之后呢。就会进行30倍的放大。通过一个SSDB的响应呢，反馈到这个受害主机，也就是被伪造原地址的这个主机上面。然后受害IP呢，受到这个攻击之后呢，导致他的服务出现了一个中断。从这攻击特性来看呢，我们可以看到它呈现了几个，从攻击呈现了两个基本特征，一个是它的设备比较多。它的类型也比较多，包括像一些路由器啊，摄像头啊，打印机啊，以及智能家电，它都能够成为这种攻击设备被利用。

第二个呢，它的攻击成本也是非常低的。攻击是比较容易的。比如在一些黑灰产上面，他可能100多块钱就能买到一个价，一个600万的一个供给表，相当于里面记录了这些。机器的这个IP端口啊什么的，相当于能够直接通过僵尸网络来连接或查询这些设备。而从检测防护的角度呢，我们看到有两个特点，一个是说多数厂商呢，并不采用这个SDP的1900端口。他们所以呢，在检测方面呢，无法简单快速的通过这种端口识别来检测。然后第二个呢，就是说它那个通常是一些脉冲手段的攻击。这种攻击的它的主要的特征就是说它针对的是一个攻击。的IP，然后每一段时间呢，只对某一个IP发起攻击，然后快速的切换到下一个IP，所以它是一个扫段性的，并且是持续时间比较短，呈现一个脉冲的态势。

在这种情况下呢，实际上防御呢是相对比较困难的，处理呢也存在一些延迟。然后针对此类攻击呢，我们目前都采用了一些云端一体的一些防护的策略。比如在云测呢，我们通过一些SSDP的包长。比如一些大包的特征，或者是虽然都是小包，但是频率比较快，这些基础的特征呢，进行快速的识别。在起量之前呢，进行快速的干预和处理，同时在端测呢，我们在企业网关也同步加强对于这种SSDP的探测行为的这种检测能力。来进行一个防护。然后我们观测到的第二个趋势呢，是DNS资源耗尽型，在一些行业，尤其是金融行业上呢，呈现一个比较高的一个上涨态势。同样的，我们看一下这个整个的这个攻击过程。首先呢，也是黑客利用大量的肉鸡。他伪造一些随机的子域名。

这些子域名和正常的请求一起被发向了这个缓存的DNS服务器。因为这些子域名在缓存，DNS服务器无法查询到结果，就会发起一个递归的请求来请求它的权威域名服务器。权威域名服务器因为它本身也不并不包含这些。这些随机伪造的子名，所以他会大量的回复NX domain。也就是ENT domain这样的，没有这个域名的这个。反馈这种消息，然后导致他的资源呢耗尽，无法服务。然后这个里面呈现两个攻击特性，一个就是说有些行业呢，因管理需要。它的权威DS服务器部署在端侧。这样他的资源呢，相对比较受限，比较容易耗尽。第二块呢是它虽然我们采用了一些域名白名单的形式。但因为一般的DNS缓存，它是基于用户访问。行为。来缓存的，所以它仅仅包含用户方面的域名，并不会大MP整个权威DNS的全表，这样情况下呢，它存在一定的误差率。

所以呢，这块需要主动和被动防护进行一个结合。然后对于此类攻击呢，目前电信安全的防护手段呢，是在DNS缓存，DS服务之间呢，放放置一个高性能的服务器。进行一个主备的防护，这个服务器呢，通常会放在云端。在遇到大量的平，在正常时候呢，可能就是直接请求到这个。呃，权威域名服务器了，但是在遇到大量的恶意请求的情况下呢，通过一些优先级的调整，进行一个快速的切换，做一个主备的保护。那下面就简简要总结一下前面的内容。然后这块是那个刚才看我基于我们前面的分析呢，大概得到了一些基本的结论，第一个呢，就是说DDOS攻击呢，进入到一个活跃周期。

然后今年上半年呈现的趋势呢，就是SSDP等短攻击呢，增长非常的迅猛。我们需要在这里面呢，进一步的去发现更多的攻击特征，增强它的防防护能力。第二个呢，就是看大峰值的这个流量可以，嗯，大峰值流量下的混合攻击呢，给防御造成一定难度。需要进一步利用大网的这种带宽能力。进一步具备多种DDOS攻击的实时的识别和防护。第三个针对这个区域差异比较显著的这个情况呢，我们可以看到在攻击和被攻击区域的一些不对称的性质，需要因地制宜的部署各类的防御设备。然后第二个呢，我们可以看到行业和地域上的这种趋势。然后针对这个国内设备反国外的这种，我们需要加强在BP层面的流量检测和控制。而针对行业设备这个能力较弱的这个情况呢，我们要进行一些增强性的一些防护设备的快速部署。

支撑整个行业的健康发展。然后第三部分我们看到这个易守难攻的态势呢，还是还是继续，然后还明显有进一步恶化的可能，它的成本在不断的降低。这个呢，需要引起我们足够的重视，在黑灰产的打击上呢，要更有力度。最后呢，我们可以，我们也可以看到我们前面的很多例子呢，是需要云端一起。包括网测联动来进一步提升DS的整体的这个防护性能。呃，中国电信呢，也将持续与安全行业的各位专家一起积极的应对挑战，打造更繁荣的安全生态啊，欢迎大家那个扫码，然后另外呢，今天恰好是9月1号是开学的日子。然后，那个秋风送爽，也向曾经教导过我们的各位老师致以诚挚的问候。

好，今天我的分享就到这里，好，谢谢大家。感谢贾静康先生的分享，看来地道攻击威胁依旧严峻，花样百出的黑灰产也给企业带来挑战。不过，许多安全从业者也在每一次攻防中积累了经验。沉淀出一套宝贵的实战方案。下面有请腾讯安全防护专家孙国结合多年来抗的实战经验，带来关于道实践案例和防护新思的分享。有请孙老师开始您的分享。哈喽，大家好。诶，我是来自腾讯云安全的孙姐。很高兴能在这里与大家分享多子实践案例和防护新思路。啊，大家能看见我的钉钉吗？好。呃，S的那个攻防对抗一直是业界难点啊，接下来呢，我将以一个真实的攻防案例给大家解读一下S攻击趋势，以及我们在防护方面所做的努力啊，其实前面讲过式也讲到了，就是大流量的攻击以及混合型的攻击啊，甚至是基于lot设备的攻击反射啊，其实是我们现在的一个攻防难点，难点所在。

对啊，那我们这次案例呢，我们就也刚好拓宽一下啊，刚刚讲过的一些总结内容，对，然后国内的某著名客户啊，在2020年出海的时候，遭受到了严重的次攻击，黑客完全是有备而来，与我们发生了多轮的激烈对抗，整个对抗持续三天，攻击次数累计超400次，平均每四小时就会完全变化一次攻击处罚。来让防护者啊无从下手啊。在刚始刚开始的两天中呢，攻击者先用最常规的性大包和UD反射手法对客户进行试探啊，期间攻击者也在不断加大攻击流量啊，最终最后流量高达一体啊，攻击峰值高达500多万QPSCC对其次呢，攻击者对客户的多个域名。

啊，就是其实也非常熟悉，他的攻击针对性非常强，心选择了CC攻击的。啊，在从第二天开始攻击当中，每一次攻击都采用混合攻击的模式，多种攻击流量混合在一起，使防护更加困难啊。另外一个特点，工资流量从零，从零到ETB只需要仅仅短短的五秒啊。啊，并且呢，就相当于说是攻击者会在CC和大流量这些本来就就稍微防一些攻击，中间还会穿插一些小流量的，比方说push ckcb反射对企图在防守方注意力集中在CC的时候啊，用这部分与用户业务非常接近的攻击流量来透穿防护。

嗯呃，基于这种种情况呢，我们业界啊，一般有常见几种策略来提供啊，防护支撑啊，第一种呢，我们人工来深度定制安全专家的一些策略。对，第二种呢，就是我们大数机械学习，第三种呢，就是接入我们所谓的安全水SDK，对，但是呢，虽然说这三种方式可以在一定程度上缓解攻机，但是缺陷也比较明显，比方说大数据机械学习需要长时需要长时间对对各机各机线进行学习，在正常时间段啊学习到流量，但是往往可能针对有一些我们紧急啊上线的一些游戏业务。或者说就是因为攻击，所以才接入我们安全的游戏业务，它比较难以啊，起到一个防护的效果。对，它不具备一个泛化的一个场景啊，再比如说我们安全使用SDK，然后现有的SDK方案通过改造客户端代码来接入SDK客户端访问服务器。

啊，过程中啊，会带我们前好的一些法字，然后加密之后来造成一个防伪的个性啊，啊可以完全对非法攻击流量进行拦截，但是呢，这种接入成本较高，需要呃因游戏客户至少在半个月前，然后就开始啊。把这整套SDK方案接入到自己系统去啊，所以比较困难啊，所以呢啊，业界短时间来看，更多的还是采用人工深度定制的这种方式来搞定。啊，针对呢，CC工具流量复杂多变，难以人工定制的特点啊，并且呢，会牵扯到我们大量努力，我们基于AI模型进行深度学习啊，甄别行为差距，来实现四层和七层和CC的智能保护，来解放我们专家原理。AI防护呢？它不完全依赖机械，可以学习各个特征之间的潜在联系啊，具备敏锐的识别特征，在流量异常时在线学习当前请求流量，区分出偏离历史流量分布的请求，进行阻断上的业务。对四层CC也能。

啊，相对SDK方案不需要更改客户的业务，而且对正常业务不会产生任何影响，特别适用于业务啊。针对流量爬升快的特点，腾讯基于D和D2种分析算法，实时对流量进行防护，能做到一秒内别五秒内。OK，然后呢，跟针对刚刚所说的啊，一个超大流量攻击，也就是说一个上TB的一个攻击啊，啊这么一个攻击流量特点呢，啊，咱们推出了高防包企业版这么一个防护方案。它以远超云原生，也就是我们高包基础版的一个能力来抗击。啊，该方案呢，可以用于海外，也可用于国内，和云原生高分包类似啊，所需要客户的操作极小，网络上不增加内些转发来保障业务质量，可以简单啊定CMCL啊的操作简单的优点啊，我们在国内呢可以提供一到2T的一个防护容量，海外则会提供5T以上的容量来应对任何出海场景下的。

呃，针对，其实针对那个海外的高分包企业版啊，我们也集成了any case的进源清洗架构来供客户选择啊，相比于海外信息中心，腾讯安的方案具备近就近接入，进源清洗，然后网络优质、自动调度四大优势点啊。除了之外，我们也有I one方案，它可以集成CDN机房来作为第一批次的清洗节点，同时监护加速和防护效果。

呃，攻击者的专业性哈，呃，另一个体现其实就在TCP的反射手法上。啊，我们知道啊，我们在前两年介绍的时候就已，其实已经介绍过我们的出版啊，TCP反射手法啊，出版的TCP手法啊，往往利用云主机。或者IDC使用C段来获取反射。当攻击者利用知名的服务器作为反射源的时候，我们如果把反射源直接拉黑，往往会造成客户的业务啊无法正常使用。会获取更大的TCP反射倍率呢？啊，在2020，在2021年底啊，国外某组织已经披露出了一个中间和漏洞啊，这中间和漏洞其实广泛存在于国内以及海外的一些合规系统当中。对，在2022年三暂开始啊，这种利用大规模中间合规，中间合的这种大规模反射漏洞啊，其实就在线网当中频频出现，攻击量级进一步进化。

呃，第呃，这就相当于说，这一次的攻击者其实已经使用了这种最新的TCP反射技术来获得一个超大的TCP反射。流量。对，然后我们也知道。呃，攻击者呢，就出版的。TCP反射手法啊，其实在放大方面啊，是他的弱项，它的强项呢，其实在于它的一个协战的一个行为，可以完整的绕过TP的一些啊，核心算法方TP传TP验证啊，以及还有我们A验法。对，然后呢，呃呃，在2.0版本，它得到了进化，主要主要进化层面呢，还有它可以反射到咱们的HTTP包。

攻击者呃，从向服务器，我我们这里先讲下原理，攻击者从向服务器发射伪造包啊，改为向合规设备发射报，就是说啊，它的原理性呢，往往是包含了一些不允许访问的防赌毒站点，诱发安全合规设备，并答啊，尽管工具包没有和。目攻击目标机器啊，甚至是中间和建立连接必须的三次握手过程，但是由于部分国外啊国内安全设备对八零端口P协议访问阻断的功能存在缺陷，没有严格按照TCP协议检查性。同时初始攻击包里的漏的。啊，可以。同时初始包PI的啊，可以触发安全设备的防护规则，引发超大的阻断响应爆。

对，升级版的TCP防护有四大难点啊，第一个就是它最高可达倍的一个放大效果。啊，第二呢啊，反射攻击来自大量合法的IP啊，且具有完整的TCB协议，这碍行为对第三呢，它这种反射手法，它除了时可以同时反射C克ST豹纹之外，还可以反射HTTHTML啊等混合。在辅助与黑客打出正常攻击流量啊，使流量构程更加接近于正常业务，使我们无法甄别啊。第四点，传统的抗击设备都是旁部署的，没有实现绘画跟踪啊，也无法实现双向的绘画检查啊，不容易拦截，甚至反而会被当做啊一个反射放大源，就跟我们的合规中间核一样。OK，针对这种算法啊，腾讯云在2019年其实就已经完成了业界首个TCP防护算法啊，可以无需人工干预，呃，玩家完全无感知的情况下，区分工具流量和正常流量，实现自动化和智能化的信息。

其实整个破解算法的核心思路就是啊，对被公的入方流量做跟踪并分析，每个会的。啊，行为动作通过甄别TCP反射攻击的绘画和正常。流量混，最终对反射攻击源做拦截，实现有效防护。啊，如果企业的中间和啊，特别是合规系统如果存在TCP实验漏洞，且阻断的合规页面过大，那么就很有可能会被外部攻击者当做优质的反射放大器，从而不可避免的被频繁遭受扫断式的第多次攻击。极大的浪费系统性能，出口带宽，保贵资源啊，而且自己自身业务安全也无法得到保障啊，甚至会面临被投诉啊，遭到报复的一个风险。

为此，优化合规系统的中间的机制，避免被利用将成为重要的安全话题啊。为此呢，我们也比较建议，第一个就中间盒一定要具备TCP合法检查啊和丢弃啊，第二个呢，就是T中间盒一定要完善自身的TCP会话识别能力，避免直接从TCP单项包里面直接提取域名啊，下载拦截。在条件具备的情况下呢啊，尽可能不要采用啊，流量单单方向检测。来那个对来来进行那个整个安全设备的一个架构，如果有可能的话，如果说这个方向实在不能改的话，也最好能够基于流量的单方检测来完成风功能，这样可以比较。

快规避安全预警，第三点啊，就是说啊，如果说前两种机制改动方式方向啊，方式会比较大的情况下，甚至可以短时间之内呢，把那个挑战啊，那个合规风的那个页面啊尽可能做小一些，这样呢啊TP反啊倍数啊降低下来，或者说。以及如果说没有放反射放大倍数，或者说可能只有一到两倍的放大倍数呢？啊，反而不容易啊，引起黑客的窥视。OK，比高攻击，攻击手法啊在不断迭代，现在攻击者其实远远不仅仅仅只限于某一种的单一的的攻击啊，刚刚讲博士也讲了，他们会利用啊模拟业务，利用协议漏洞，利用设备漏洞进行TCP反射，HTTP反HTPSCC啊，以及四层C的攻击手法，同时啊对设备进行攻击，对应的在防护侧，我们的防护能力也要突破技的瓶颈，利用AI。

算法。水印、设备指纹等多种方式去构建新一代的防护体系。呃，事实上的攻防一直都是这么的艰难，因为它的攻击成本过于低廉，而防御成本又过于高啊。啊，同时呢，我们注意到啊，针对就是说啊，国家现在正在大力推进IPV6的一个商业化造，我们可以发现在2022年底，IPV6的整个业务规模就需要占比超20%以上。我在直播。诶不好意思啊，然后那个呢啊，以及在223年底啊，我们的IPV6流量占比啊，甚至就会超过50%的IP流量规模呢，也会到20220年底的三倍以上，也就是至少在30%以上。

啊，国内知名的前100的商业移动互联网IPV6的。流量要70%，那换句话说未来。一年到两年之内。IPV6。甚至就会变成DOS防护的一个温床啊，因为咱们底S安全设备，很多的安全厂商都还没有及时对IPV6啊进行升级迭代改造，当面对攻击的时候，他们可能就会处在一个措手无策。啊，一个。一个状态，OK，在IP改造场景呢，我们腾讯其实已经啊提领先了，一我们可以提供高包和高峰IP的两种产品供用户选择。高光包采用透明的部署模式，防护对象呢，为云上CLBCVM的啊，不改变流量入口，只需绑定CLBCVM啊，就支持V4V6双和IV4目同等的护带宽。

啊高IP呢则更加是对外部网站、APP、小程序等业务的一个流量入口啊，采用一个一个转发方式，将所有流量经过高峰IP做常态引用，并且把它转换成V4的一个流量会员服务器啊，辅助用户最简化升级IPV6。然后客户比较关心的，也就是说我们一个溯源无法解决获取用户IP么问题，我们也会采用在F字段里面，或者说T字段里面啊，来嵌入我们的A来给客啊供种支。啊啊，这是第二个场景呢，其实也就是我们啊用的比较多的，也就是经常最容易遭受攻击的啊，占比超百分之四十五十的我们的游戏场景，在游戏场景当中我们都知道我们会区分于啊，大厅组战斗服和游戏更新啊等这三个典型的一个场景啊。针对游戏大，具有IP少，业务重要易遭受攻击的特点，我们首推高IP高分包企业版来进行大流量的。

啊，针对战游戏战斗服啊，海量的IP上业务的一个的一个特点啊，我们推荐就使用普通标准高包来防护就好了，对啊，针对游戏更新场景就是我们啊，更推荐使用S供全球静态缓存加速啊，也就是我们CDN功能以及我们的DNS调度功能来完美兼顾业务加安全的一种双重场景。OK，总结一下啊，就是腾讯云从资源建设层面、防护算法层面、产品层面以及面向特的一个层面提供了丰富的防护方案供客户选择。

啊OK啊，在防护在底层的一个防护建设方面，我们提供了BP啊三啊，然后我们单线。呃，就是在在国内搭建了清洗中心，然后以及我们云原生的一个叠加，我们云原生的防护，在海外呢，我们同时将监控安的这两种场景来给大家提供护，同时呢，我们也充分利用了CD机房的一个呃护宽能力啊，同时呢来兼顾满足一个加速来加一个安全的一个需要，对从防护能力层面啊，咱们前面我们也讲到了，我们其实在不断的迭代啊，我们的防护能力来做到与时俱进的来给客户啊提供这种安全价值，对在产在产品层面呢，我们也算比较丰富，然后来为了应对客户遭易遭受攻击，以及啊中低威胁的啊，政府文旅对行业工具啊，以及高威胁的游戏，金融直播，这这不同场景，我们其实推出了不同的一些安全产品和服务。

嗯。最后哈啊，腾讯安全会在互联网中不断锻炼自己，自身业务安全为基点，紧跟攻防发展的一个态势，为广大用户提供长期。有效的S安全服务啊，这张表里面其实我们可以看到，我们目前已经囊了游戏。啊，金融。然后物流，然后以及我们的购物，对，然后甚至以及我们一些传统制造制造商，制造商和我们一些典型的互联网企业。

所以啊，咱们的能力应该还是可以得到一个充分的锻炼啊，并且得到一个提炼。嗯，好的，我今天分享就先到这里啊，谢谢大家。好的，谢谢孙国鼎的分享。给我们带来一套非常实用的DDOS防护方案的核心核心思。近年来，很多企业纷纷扬帆出海，但是出海企业同样面临以DS为代表的安全威胁，有没有一套高效便捷的方案可以为出海企业护航？下面有请腾讯安全海外安全专家蒋卓立带来以海外融合安全和出海场景的应用主题的分享，请我们展开解答。有请蒋老师开始您的分享。大家好，呃，我是腾讯安全蒋卓丽，感谢各位安全领域的同行和各位关心海外安全的朋友今天来参加我们的直播，也感谢主主持人和二位专家带来的地道趋势解读，那么今天借此机会呢，和大家分享一下呃腾讯安全今年推出的海外融合安全产品呃one边缘安全加速平台，以及它在出海业务场景的应用，希望呢，这款h one融合安全产品能够为业务出海提供便捷的安全能力，解决安全的这个海外场景的一些痛点。

那么首先啊，请让我通过A的一个张老师，张老师你那边PPT好像没有出来。稍等。我重新共享一下。

嗯，老师现在你是暂停了屏幕分享。可以了。张老师，开始吧。呃，那么呃，不好意思，呃刚那么主要是想借这个机会呢，和大家分享这个呃今年今今年推出的海湾安全融合产品one，那么希望借这个产品呢，能够为业务出海提供便捷的安全能力，解决海外安全的痛点，那么首先呢，呃。呃，请让我通过这个介绍他这个产品的基本功能框架来，呃。来说明一下这个一体化安全防护的特点。

那么大家现在看到这个这张图呢，就是我们边缘安全加速平台one的一个基础架构，那相信很多熟悉行业的朋友呢，对这个架构其实并不陌生，因为近两年其实也比较流行的一个概念，就是三至七层的一个一体化防护，包括像是网，从网络层到应用层。从一到到呃，到外部攻击防护，一直到bos管理，还有到API安全，那么这些部分啊，这种呃一些分析机构呢，也把它称为WAT，也就是web应用和API防护。那么腾讯安全今年推出的产品，也正是看到了海外业务和出海场景中对这类融合安全方案日渐增长的需要。One的功能呢，非常丰富，大家可以看到呃，比如像是CDN场景经常用到的内静态内容缓存，动态路由加速，DS运托管管理四层应用这些，那么当然了，我们啊在直播的，在看直播的各位也比较关注的安全功能，那么后面我会为大家一一展开介绍，包括了像是呃，依赖全球any的进人清洗的地道防护，还有像是web安全，还有Bo管理，这些能力都集成到了一个产品中。

那么对于不管是啊在腾讯云还是腾讯云外的站点站，都能够非常方便的介入，然后想直接享受到这个一体化安全防护带来的便捷。那么推出这样一款融合产品，呃，我们主要是为了带来什么样价值，这里有几个我们希望呃介绍的关键的价值点，那么相信也是呃各位朋友在日常业务运营中，运维中会碰到的一些关注，关注的呃点。比如说像是。呃，防护状态下的访问延迟，呃，那么依赖全球的节点覆盖，还有CDN的性能可以做到，呃，静态页面加载时长缩短60%，同时呢，依靠丰富的平台防护资源，H one可以保证业务稳定在线。呃，之后呢，H one呢，背靠腾讯20年的应用安全经验，能够提供扎实可靠的外部攻击防护。

低延时，高拦截率，还有低误报。那么。另外除此以外呢，还有呃自动更新的这个零类漏洞补丁，那么这些都是我们在呃出海业务场景中看到非常关注的点，那么在报方面，我们除了提供丰富的报管理策略以外，我们的验证码接入非常方便，呃一一键可以做到开启验证码接入，呃这个在同类产品中也是非常难得的能力。那么从防护流程上看，我们采用的是呃主流的请求分级过滤架构，那么一个请求在经过最前置的一道清洗机制和频率控制之后呢，会依次经过我们的报管理模块，还有外部安全模块，但是每一级的筛查和过滤当中呢，会结合各类安全分析技术和对这个请求的智能识别技术，比如说比如像是外部的攻击安全工作，对于常见的像是注入攻击啊，像是外脚本啊，这些不仅不仅有基础的语法结构匹配机制，还有深入的这种呃语义分析检查。

那么我们的报的管理呢，更加更是结合了呃协议的报容特征，还有像客户端的IP情报，还有请求行为特征，这些会话统计，对请求进行全方位的分析和和识别，最终呢，经过层层防护这一个客户端请求或者说攻击请求才能够呃被拦截，或者通过这个防护机制到了后面的这个缓存机制或者远站。那么刚才说到了，包括呃，像识别分析和处理请求的每一步，呃a one都提供了丰富的日志报表，那么我们认为呃完善的这个数据分析能力是非常重要的，因为它为业务运维还有安全运维提供了各类统计分析和日志参考，那么我们的报表数据就是技术完整的。

对，就是对于我们这个灵活筛查和快速查找，还有包括呃。我们去定型策略都能够提供更好的支持，防护的每一步都不应该，不应该成为飞哥，都应该啊，对这个这个运维，还有我们的安全运维，能够充分的透明展示，那么从一个请求经过各个模块。被哪些规则匹配，然后最终如何处置，然后包括像是宏观层面的业务和安全的趋势分析，像态势感知，我们的A的控制台上都能够提供清楚的界面和报表，那么也提供啊。这个更多的这个日志选项，包括像是实时日志，离线日志，我们还支持呃腾讯云cos的推送，那么包括之后会兼容越来越多的第三方的same，那么支持日志将SIM的推送，所以A的安全能力啊，并不仅仅是防护完就解除了，我们还通过日志让让客户能够看明白到底发生了什么，那么这个是我们希望能够传递的一个综合态势感知的能力。

那么A这样的融合产品呢？在实际业务运维和安全功能中就能够呃，提供这种非常重要的能力。那么介绍完了这个融合安全产品的整体框架，我们近距离看一下one刚才提到的两个防护能力，首先呢是外跑。那么A的外部攻击防护主要有几个特点，也是我们认为在复杂的安全，呃，复杂的这个海外安全业务环境中比较关注的几个特点，一个呢是防护精准，需要防，需要识别复杂的攻击，那么这里依靠的也是刚才我们提到的这个语仪分析，这这种能力，不仅仅是分析啊攻击的这种语法结构，那么进一步的关注语义层面，那么因为正因为这样的我们才可以做到更加准确的进行识别和拦截，那么这是一个，然后是配置灵活，为什么呢？因为现在我们看到很多的站点。

从一个域名到IP维度上，好的业务非常多，然后非常杂，一个业务的呃策略对于另一个业务未必适宜，那么这个时候就要依赖于灵活的配置，能贴合业务范围去定义策略，那么这是第二点，那么第三个呢，也是目前很多呃，我们看到很多大型客户越来越关注的就是零内漏洞的防护，第一时间上线策略并且生效这个呃，我们我们认为每一秒，每早一秒上线补丁都能都很有可能会避免一个重大的重大的损失。那么除了刚才提到的几个方面呢？呃，当然很多安全运维的朋友和关注就是他写的防护策略是否覆盖了O的这个核心规则级，或者说解决了最严重的一些安全风险。

那么的外部攻击防护不仅覆盖了的top这个风险，而且呢提供了17种分类规则级，那么可以灵活的按照按照呃不同业务的需要进行配置，并且呢可以定制单独的定制防护需要的业务。包括像是白名单啊这种方式避免呃不同业务间的需求区别导致误伤。那么刚才提到的是外部防护的能力，那么呃，我们来看一看这个one的boss管理能力。那么HW融合了，呃，我们腾讯安全多年的在态势感知，还有Bo对抗领域的一些经验和优势，除了主流行业工具提供的bos管理能力以外，我们有自己的情报库，每天去每天会更新威胁数据，那么呃，从多个层面，包括像是行为分析，还有统计分析在内的。

呃，各种呃，行为模型呃，对于战略请求做分类管控。那么综合来看呢，我们呃h one的这个报管理能力有几大优势，呃首先是呃从比较基础的分类规则，我们做到呃非常精细的分类，比如像是开发者工具，还有扫描器这些工具，这些分类都在我们的经济分类项目，可以独立的去配置对应的策略，另外呢，H one的boss管理配置，呃对于呃业务的。业务的范围配置也非常灵活，可以非常精确的划分，那么对不同的业务进行啊分校分级的管理，那么对于已知的API，还有移动端的，移动端的应用也会更更加友好，那么刚才有提到这个数据分析这一块。那么这个呃这个部分我们也把报管理的组织细节拉入了采样中，那么用户包括呃客户可以在这个控制台的分析页上看到详细的日志报表，那么这个也为进一步的去制定呃呃，去分析这个发行的动机以以及制定对策提供了依据。那么在进一步的场景当中，One的验证码挑战，那么在最短的时间内完成部署，减少这个适配的流程中。

的过程中的这个业务损失。那么海外的业务啊，因为它的网络环境复杂，客户的请求来源复杂，呃，同时呢，业务又要去适配呃，各种各样的客户端，包括API，所以不能在呃一刀切的去做，按照客户端的来源，按照国内和海外这样一刀切的做安全策略，所以呢，我们在不仅仅是刚才提到的呃这种呃呃。IP层面的地道防护，我们更需要呃融合各类的安全能力，更精细化的做防护和安全工作，不管是呃内容平台，还有社交平台，线上活动还有电商交易，那么呃可见可控的报道管理都是必不可少的安全能力。

那么既然提到了，刚才也提到了呃几个业务场景，那么我们也来呃，多举一个具体一些的行业场景。那么在一个典型的这种海外的金融业，金融行业当中，呃不仅是要给全国和全球的终端用户提供线上服务，也要支持呃金融体系内的清算，还有包括呃公司内的金融公司内的数据同步，那么一般而言呢，传统的叠加安全产品呢，比较难满足这类客户复杂的需求，因为他对于呃。网络延迟，还有对于它的可用性，包括从呃网络层一直到应用层的全方位的安全都有比较高的要求，然后呃，它的这个可用性要求也非常高。那么融合安全产品呢，只有一大优势，就是可以用最少量的配置和接入流程去满足这类客户在复杂业务场景中的接入和防护需要，呃。

我就是不，我们不去厚此薄彼，也不要再做选择题，用一个产品去也同时解决性能和安全的这个，呃，这个需要两头都兼顾。那么其实我们把视线啊延伸到更多行业，也看到了许多行业在呃海外和出海业务中的共同诉求，然后以及这个呃像A万这样的融合安全模式在珠海场景下的独特价值，那么一起的防护，呃才是我们认为啊更好更全面也是更经济的防护，呃我们希望有更多的呃，我们希望呃希望更多有海外业务场景，或者有海外有业务出海诉求的啊这呃这个相关业务呢，能够了解融合安全的这种相优势，那那么兼顾呃性能和安全，也希望啊能有呃能和更多行业的朋友深入的呃交流海外和出海的这个安全解决方案，把更多的这个行业价值传递给全球的用户，这也是我们在呃设计和制作融合安全产品的这一份心。

呃，那么希望了解更多a one边缘安全加速平台的朋友，可以在腾讯官网控制台搜索呃，One或者是边缘安全加速平台，那么我的分享在这里，呃，分享就到此啊，感谢各位朋友。感谢蒋卓立先生的解答，相信有了这些能力的加持，越来越多的企业能够更安全的扬帆出海。那么今天的公开课到这里就接近尾声了，非常感谢三位专家的精彩分享，干货满满，再次感谢各位观众朋友的耐心观看，感兴趣的朋友可以扫描左下方的二维码进群交流，我们下期再见。