我們很快將會(huì)發(fā)布 2008 年的調(diào)查結(jié)果，今天我想與各位分享一個(gè)數(shù)據(jù)。在今年的報(bào)告中，有好幾 家服務(wù)商報(bào)告說(shuō)，他們?cè)?jīng)遭受超過(guò) 40 Gbps 的持續(xù) DDoS 攻擊?？傊?，DDoS 攻擊在繼續(xù)變得 越來(lái)越復(fù)雜，規(guī)模也變得越來(lái)越大。

缺少執(zhí)法助長(zhǎng)網(wǎng)絡(luò)攻擊：如果您在街上示威，就有可能真正觸犯法律。但是如果您在因特網(wǎng)上進(jìn)行 示威，觸犯法律的機(jī)率會(huì)變得很小，法律對(duì)您會(huì)很有利。

在我們的報(bào)告中，幾乎沒(méi)有服務(wù)商會(huì)向執(zhí)法機(jī)構(gòu)舉報(bào)這些攻擊。不進(jìn)行舉報(bào)的原因很多。其中指出 的一些原因包括：

◆客戶(hù)隱私/要求

◆缺乏取證分析的詳細(xì)信息

◆攻擊太多無(wú)暇應(yīng)對(duì)

◆對(duì)報(bào)告是否有用心存疑慮

全世界大多數(shù)國(guó)家的執(zhí)法都是努力制止街頭犯罪，卻不管網(wǎng)絡(luò)犯罪，這是一個(gè)事實(shí)。那些干壞事的 人很清楚這一點(diǎn)，所以他們不斷地把他們的行為轉(zhuǎn)向因特網(wǎng)所代表的安全空間。

DDoS減除策略

DDoS 攻擊永遠(yuǎn)無(wú)法被阻斷，這是由因特網(wǎng)的性質(zhì)所決定的。即使沒(méi)有僵尸網(wǎng)絡(luò)和各種復(fù)雜的工 具，任何人都可以鼓勵(lì)其他人去訪(fǎng)問(wèn)某一網(wǎng)站，從而有效地發(fā)生請(qǐng)求溢出，破壞網(wǎng)站的穩(wěn)定性。我 們無(wú)數(shù)次看到過(guò)使用"點(diǎn)杠效應(yīng)(Slashdot effect)"進(jìn)行攻擊的例子。同樣是在愛(ài)沙尼亞和韓 國(guó)，就發(fā)生過(guò)煩躁民眾向攻擊對(duì)象發(fā)送大量請(qǐng)求，導(dǎo)致服務(wù)被迫中斷的情況。然而，我們可以對(duì)攻 擊進(jìn)行管理，對(duì)基礎(chǔ)構(gòu)架的配置進(jìn)行更改，避免其在此類(lèi)攻擊中被濫用。

就象 20 世紀(jì) 90 年代采取的協(xié)同行動(dòng)，通過(guò)更改默認(rèn)的路由器設(shè)置來(lái)阻斷"Smurf"攻擊一樣，開(kāi) 放的遞歸式 DNS 服務(wù)器會(huì)對(duì)因特網(wǎng)的基礎(chǔ)構(gòu)架造成威脅，因?yàn)樗鼈兛梢杂脕?lái)進(jìn)行 DNS 放大攻擊。 發(fā)現(xiàn)并配置好這些設(shè)施是一個(gè)重大的挑戰(zhàn)。在這方面幾乎還沒(méi)有取得任何進(jìn)展。

如果流量發(fā)生明顯的變化，則可以在入侵點(diǎn)對(duì)其進(jìn)行大規(guī)模的攔截，這樣對(duì)正常流量的中斷最小; 例如，在上游路由器處對(duì)所有 ICMP 回顯請(qǐng)求進(jìn)行過(guò)濾可以阻斷 Ping 泛洪攻擊。即使攻擊者向被 攻擊對(duì)象發(fā)送隨機(jī)數(shù)據(jù)包，具有這種特征的"異常"流量也能夠被安全攔截，從而減少帶寬的使用。

除非端點(diǎn)能夠?qū)?Akamai 等大型分布式主機(jī)的基礎(chǔ)構(gòu)架進(jìn)行訪(fǎng)問(wèn)，否則很難在 DNS 層面上采取行 動(dòng)來(lái)挫敗 DDoS 攻擊。為此，它們可以把攻擊流量分散到多個(gè)高度互連的節(jié)點(diǎn)上，從而針對(duì)攻擊 者筑起一道防護(hù)欄。除非把 DNS 條目完全下載到本地，否則 DNS 條目的短存活時(shí)間(TTL)值對(duì) 挫敗攻擊并沒(méi)有幫助，因?yàn)楣粽呖偪梢岳帽还魧?duì)象的 IP 地址作為目標(biāo)。

對(duì)付大型 DDoS 攻擊最成功的策略是采用多向量方法。如果可以識(shí)別泛洪源 IP 地址，則可以在源 地址端把它們關(guān)閉，或者如果無(wú)法聯(lián)系服務(wù)商，則可以使用路由方法在通向網(wǎng)絡(luò)途中阻斷其流量(通過(guò)在路由器上執(zhí)行"單播反向路徑轉(zhuǎn)發(fā)"[Unicast Reverse Path Forwarding] 來(lái)實(shí)現(xiàn))。根據(jù) 攻擊的不同類(lèi)型，也可以采用 SYN 代理等其他防護(hù)技術(shù)。此外，還可以使用高速線(xiàn)路過(guò)濾設(shè)備來(lái) 中斷額外流量或?qū)⑵湟?guī)?？s小到可接受的水平。

Arbor Networks 應(yīng)用智能和威脅減除

使用 10 Gbps Arbor Peakflow SP 威脅管理系統(tǒng)(TMS)設(shè)備的 Peakflow SP 是第一個(gè)能夠廣泛 集成網(wǎng)絡(luò)級(jí)智能和運(yùn)營(yíng)商級(jí)威脅管理的平臺(tái)。Arbor Peakflow SP TMS 是一種針對(duì)多服務(wù)融合式網(wǎng) 絡(luò)的應(yīng)用智能設(shè)備。它可以增強(qiáng)全網(wǎng)事態(tài)感知能力，并通過(guò)將高水平的威脅識(shí)別能力與數(shù)據(jù)包級(jí)分 析相結(jié)合，可更為迅速地采取措施。它可以補(bǔ)充和完善 Peakflow SP 的其它清洗技術(shù)，包括指紋 共享、邊界網(wǎng)關(guān)協(xié)議(BGP)黑洞路由選擇、BGP 流規(guī)范和對(duì)第三方產(chǎn)品的支持。

為了減少大規(guī)模 DDoS 攻擊帶來(lái)的附帶損害，服務(wù)商常常會(huì)阻斷前往受攻站點(diǎn)的所有流量，以籍 此阻斷 DDoS 攻擊。使用集成 TMS 設(shè)備，Arbor Networks 可以?xún)H阻斷攻擊流量，從而保持可用的 服務(wù)和較高的客戶(hù)滿(mǎn)意度。Peakflow SP TMS 使服務(wù)商能夠在不中斷合法流量的情況下識(shí)別和阻 斷網(wǎng)絡(luò)和應(yīng)用層攻擊。Peakflow SP TMS 能夠提供具有高成本效益的網(wǎng)絡(luò)和應(yīng)用層威脅檢測(cè)、減 除和報(bào)告功能，從而使服務(wù)商可以維護(hù)關(guān)鍵 IP 業(yè)務(wù)。

Arbor 的領(lǐng)導(dǎo)作用促進(jìn)服務(wù)商之間的交流

大規(guī)模的 DDoS 攻擊不僅會(huì)影響既定的受攻擊對(duì)象，而且會(huì)影響到可能正在使用同一共享網(wǎng)絡(luò)服 務(wù)的其他用戶(hù)。Arbor Networks 在建立"指紋共享聯(lián)盟"等自動(dòng)進(jìn)程上發(fā)揮了重要作用。"指紋共 享聯(lián)盟"是跨公司、大陸和海洋的一個(gè)打擊網(wǎng)絡(luò)攻擊活動(dòng)的全球電信公司聯(lián)盟。Arbor Networks 向 Peakflow SP 添加了指紋共享功能，允許各公司在不泄露任何競(jìng)爭(zhēng)性信息的情況下自動(dòng)共享攻擊指 紋。

Peakflow SP 通過(guò)從網(wǎng)絡(luò)中的設(shè)備收集數(shù)據(jù)來(lái)完成這一功能，然后把數(shù)據(jù)相互關(guān)聯(lián)起來(lái)，以利于服 務(wù)商為網(wǎng)絡(luò)創(chuàng)建基線(xiàn)和檢測(cè)異常偏差，并把偏差標(biāo)記為異常。隨后，系統(tǒng)將決定異常情況是合法的 瞬時(shí)擁塞(例如在線(xiàn)事件發(fā)生期間)還是惡意攻擊。網(wǎng)絡(luò)管理員隨即決定是否對(duì)其進(jìn)行減除或保 留。

如果確認(rèn)是惡意攻擊，Peakflow SP 就會(huì)產(chǎn)生指紋，服務(wù)商可以通過(guò)選擇對(duì)等體自動(dòng)安全地對(duì)其進(jìn) 行共享。網(wǎng)絡(luò)管理員可以完全控制誰(shuí)能夠接收共享指紋，且網(wǎng)絡(luò)無(wú)需相鄰。指紋接收者在接收到發(fā) 送過(guò)來(lái)的指紋時(shí)，可以選擇接受或拒絕共享請(qǐng)求。

結(jié)論

近年來(lái)，僵尸網(wǎng)絡(luò)已成為推動(dòng)惡意因特網(wǎng)行為發(fā)展的主要?jiǎng)恿Α＝┦W(wǎng)絡(luò)已變得越來(lái)越復(fù)雜，規(guī)模 也變得越來(lái)越大。同時(shí)，它們已被應(yīng)用于垃圾郵件、網(wǎng)絡(luò)釣魚(yú)和 ID 竊取等不斷擴(kuò)大的各種方法 中。最近，僵尸網(wǎng)絡(luò)還被用于發(fā)起 DDoS 攻擊，成為政治示威的一種形式。雖然，我們還沒(méi)有看 到國(guó)家支持的網(wǎng)絡(luò)攻擊，但是大多數(shù)政府認(rèn)為兩個(gè)政府之間的此類(lèi)因特網(wǎng)沖突是不可避免的。

鑒于此，解決僵尸網(wǎng)絡(luò)問(wèn)題是服務(wù)商面臨的第一安全要?jiǎng)?wù)。 無(wú)論是通過(guò)"指紋共享聯(lián)盟"內(nèi)的創(chuàng)新和協(xié)作，還是通過(guò)我們對(duì) ATLAS 的研究能力及我們的安全專(zhuān)家團(tuán)隊(duì)，Arbor Networks 都將繼續(xù)發(fā)揮關(guān)鍵作用，幫助服務(wù)商確保其網(wǎng)絡(luò)的安全性、可用性和盈利性。

huanghui