我們很快將會(huì)發(fā)布 2008 年的調(diào)查結(jié)果，今天我想與各位分享一個(gè)數(shù)據(jù)。在今年的報(bào)告中，有好幾 家服務(wù)商報(bào)告說，他們?cè)?jīng)遭受超過 40 Gbps 的持續(xù) DDoS 攻擊?？傊?，DDoS 攻擊在繼續(xù)變得 越來越復(fù)雜，規(guī)模也變得越來越大。

缺少執(zhí)法助長(zhǎng)網(wǎng)絡(luò)攻擊：如果您在街上示威，就有可能真正觸犯法律。但是如果您在因特網(wǎng)上進(jìn)行 示威，觸犯法律的機(jī)率會(huì)變得很小，法律對(duì)您會(huì)很有利。

在我們的報(bào)告中，幾乎沒有服務(wù)商會(huì)向執(zhí)法機(jī)構(gòu)舉報(bào)這些攻擊。不進(jìn)行舉報(bào)的原因很多。其中指出 的一些原因包括：

◆客戶隱私/要求

◆缺乏取證分析的詳細(xì)信息

◆攻擊太多無暇應(yīng)對(duì)

◆對(duì)報(bào)告是否有用心存疑慮

全世界大多數(shù)國家的執(zhí)法都是努力制止街頭犯罪，卻不管網(wǎng)絡(luò)犯罪，這是一個(gè)事實(shí)。那些干壞事的 人很清楚這一點(diǎn)，所以他們不斷地把他們的行為轉(zhuǎn)向因特網(wǎng)所代表的安全空間。

DDoS減除策略

DDoS 攻擊永遠(yuǎn)無法被阻斷，這是由因特網(wǎng)的性質(zhì)所決定的。即使沒有僵尸網(wǎng)絡(luò)和各種復(fù)雜的工 具，任何人都可以鼓勵(lì)其他人去訪問某一網(wǎng)站，從而有效地發(fā)生請(qǐng)求溢出，破壞網(wǎng)站的穩(wěn)定性。我 們無數(shù)次看到過使用"點(diǎn)杠效應(yīng)(Slashdot effect)"進(jìn)行攻擊的例子。同樣是在愛沙尼亞和韓 國，就發(fā)生過煩躁民眾向攻擊對(duì)象發(fā)送大量請(qǐng)求，導(dǎo)致服務(wù)被迫中斷的情況。然而，我們可以對(duì)攻 擊進(jìn)行管理，對(duì)基礎(chǔ)構(gòu)架的配置進(jìn)行更改，避免其在此類攻擊中被濫用。

就象 20 世紀(jì) 90 年代采取的協(xié)同行動(dòng)，通過更改默認(rèn)的路由器設(shè)置來阻斷"Smurf"攻擊一樣，開 放的遞歸式 DNS 服務(wù)器會(huì)對(duì)因特網(wǎng)的基礎(chǔ)構(gòu)架造成威脅，因?yàn)樗鼈兛梢杂脕磉M(jìn)行 DNS 放大攻擊。 發(fā)現(xiàn)并配置好這些設(shè)施是一個(gè)重大的挑戰(zhàn)。在這方面幾乎還沒有取得任何進(jìn)展。

如果流量發(fā)生明顯的變化，則可以在入侵點(diǎn)對(duì)其進(jìn)行大規(guī)模的攔截，這樣對(duì)正常流量的中斷最小; 例如，在上游路由器處對(duì)所有 ICMP 回顯請(qǐng)求進(jìn)行過濾可以阻斷 Ping 泛洪攻擊。即使攻擊者向被 攻擊對(duì)象發(fā)送隨機(jī)數(shù)據(jù)包，具有這種特征的"異常"流量也能夠被安全攔截，從而減少帶寬的使用。

除非端點(diǎn)能夠?qū)?Akamai 等大型分布式主機(jī)的基礎(chǔ)構(gòu)架進(jìn)行訪問，否則很難在 DNS 層面上采取行 動(dòng)來挫敗 DDoS 攻擊。為此，它們可以把攻擊流量分散到多個(gè)高度互連的節(jié)點(diǎn)上，從而針對(duì)攻擊 者筑起一道防護(hù)欄。除非把 DNS 條目完全下載到本地，否則 DNS 條目的短存活時(shí)間(TTL)值對(duì) 挫敗攻擊并沒有幫助，因?yàn)楣粽呖偪梢岳帽还魧?duì)象的 IP 地址作為目標(biāo)。

對(duì)付大型 DDoS 攻擊最成功的策略是采用多向量方法。如果可以識(shí)別泛洪源 IP 地址，則可以在源 地址端把它們關(guān)閉，或者如果無法聯(lián)系服務(wù)商，則可以使用路由方法在通向網(wǎng)絡(luò)途中阻斷其流量(通過在路由器上執(zhí)行"單播反向路徑轉(zhuǎn)發(fā)"[Unicast Reverse Path Forwarding] 來實(shí)現(xiàn))。根據(jù) 攻擊的不同類型，也可以采用 SYN 代理等其他防護(hù)技術(shù)。此外，還可以使用高速線路過濾設(shè)備來 中斷額外流量或?qū)⑵湟?guī)?？s小到可接受的水平。

Arbor Networks 應(yīng)用智能和威脅減除

使用 10 Gbps Arbor Peakflow SP 威脅管理系統(tǒng)(TMS)設(shè)備的 Peakflow SP 是第一個(gè)能夠廣泛 集成網(wǎng)絡(luò)級(jí)智能和運(yùn)營(yíng)商級(jí)威脅管理的平臺(tái)。Arbor Peakflow SP TMS 是一種針對(duì)多服務(wù)融合式網(wǎng) 絡(luò)的應(yīng)用智能設(shè)備。它可以增強(qiáng)全網(wǎng)事態(tài)感知能力，并通過將高水平的威脅識(shí)別能力與數(shù)據(jù)包級(jí)分 析相結(jié)合，可更為迅速地采取措施。它可以補(bǔ)充和完善 Peakflow SP 的其它清洗技術(shù)，包括指紋 共享、邊界網(wǎng)關(guān)協(xié)議(BGP)黑洞路由選擇、BGP 流規(guī)范和對(duì)第三方產(chǎn)品的支持。

為了減少大規(guī)模 DDoS 攻擊帶來的附帶損害，服務(wù)商常常會(huì)阻斷前往受攻站點(diǎn)的所有流量，以籍 此阻斷 DDoS 攻擊。使用集成 TMS 設(shè)備，Arbor Networks 可以僅阻斷攻擊流量，從而保持可用的 服務(wù)和較高的客戶滿意度。Peakflow SP TMS 使服務(wù)商能夠在不中斷合法流量的情況下識(shí)別和阻 斷網(wǎng)絡(luò)和應(yīng)用層攻擊。Peakflow SP TMS 能夠提供具有高成本效益的網(wǎng)絡(luò)和應(yīng)用層威脅檢測(cè)、減 除和報(bào)告功能，從而使服務(wù)商可以維護(hù)關(guān)鍵 IP 業(yè)務(wù)。

Arbor 的領(lǐng)導(dǎo)作用促進(jìn)服務(wù)商之間的交流

大規(guī)模的 DDoS 攻擊不僅會(huì)影響既定的受攻擊對(duì)象，而且會(huì)影響到可能正在使用同一共享網(wǎng)絡(luò)服 務(wù)的其他用戶。Arbor Networks 在建立"指紋共享聯(lián)盟"等自動(dòng)進(jìn)程上發(fā)揮了重要作用。"指紋共 享聯(lián)盟"是跨公司、大陸和海洋的一個(gè)打擊網(wǎng)絡(luò)攻擊活動(dòng)的全球電信公司聯(lián)盟。Arbor Networks 向 Peakflow SP 添加了指紋共享功能，允許各公司在不泄露任何競(jìng)爭(zhēng)性信息的情況下自動(dòng)共享攻擊指 紋。

Peakflow SP 通過從網(wǎng)絡(luò)中的設(shè)備收集數(shù)據(jù)來完成這一功能，然后把數(shù)據(jù)相互關(guān)聯(lián)起來，以利于服 務(wù)商為網(wǎng)絡(luò)創(chuàng)建基線和檢測(cè)異常偏差，并把偏差標(biāo)記為異常。隨后，系統(tǒng)將決定異常情況是合法的 瞬時(shí)擁塞(例如在線事件發(fā)生期間)還是惡意攻擊。網(wǎng)絡(luò)管理員隨即決定是否對(duì)其進(jìn)行減除或保 留。

如果確認(rèn)是惡意攻擊，Peakflow SP 就會(huì)產(chǎn)生指紋，服務(wù)商可以通過選擇對(duì)等體自動(dòng)安全地對(duì)其進(jìn) 行共享。網(wǎng)絡(luò)管理員可以完全控制誰能夠接收共享指紋，且網(wǎng)絡(luò)無需相鄰。指紋接收者在接收到發(fā) 送過來的指紋時(shí)，可以選擇接受或拒絕共享請(qǐng)求。

結(jié)論

近年來，僵尸網(wǎng)絡(luò)已成為推動(dòng)惡意因特網(wǎng)行為發(fā)展的主要?jiǎng)恿?。僵尸網(wǎng)絡(luò)已變得越來越復(fù)雜，規(guī)模 也變得越來越大。同時(shí)，它們已被應(yīng)用于垃圾郵件、網(wǎng)絡(luò)釣魚和 ID 竊取等不斷擴(kuò)大的各種方法 中。最近，僵尸網(wǎng)絡(luò)還被用于發(fā)起 DDoS 攻擊，成為政治示威的一種形式。雖然，我們還沒有看 到國家支持的網(wǎng)絡(luò)攻擊，但是大多數(shù)政府認(rèn)為兩個(gè)政府之間的此類因特網(wǎng)沖突是不可避免的。

鑒于此，解決僵尸網(wǎng)絡(luò)問題是服務(wù)商面臨的第一安全要?jiǎng)?wù)。 無論是通過"指紋共享聯(lián)盟"內(nèi)的創(chuàng)新和協(xié)作，還是通過我們對(duì) ATLAS 的研究能力及我們的安全專家團(tuán)隊(duì)，Arbor Networks 都將繼續(xù)發(fā)揮關(guān)鍵作用，幫助服務(wù)商確保其網(wǎng)絡(luò)的安全性、可用性和盈利性。

huanghui