我們很快將會發(fā)布 2008 年的調(diào)查結(jié)果，今天我想與各位分享一個數(shù)據(jù)。在今年的報告中，有好幾 家服務(wù)商報告說，他們曾經(jīng)遭受超過 40 Gbps 的持續(xù) DDoS 攻擊。總之，DDoS 攻擊在繼續(xù)變得 越來越復(fù)雜，規(guī)模也變得越來越大。

缺少執(zhí)法助長網(wǎng)絡(luò)攻擊：如果您在街上示威，就有可能真正觸犯法律。但是如果您在因特網(wǎng)上進(jìn)行 示威，觸犯法律的機率會變得很小，法律對您會很有利。

在我們的報告中，幾乎沒有服務(wù)商會向執(zhí)法機構(gòu)舉報這些攻擊。不進(jìn)行舉報的原因很多。其中指出 的一些原因包括：

◆客戶隱私/要求

◆缺乏取證分析的詳細(xì)信息

◆攻擊太多無暇應(yīng)對

◆對報告是否有用心存疑慮

全世界大多數(shù)國家的執(zhí)法都是努力制止街頭犯罪，卻不管網(wǎng)絡(luò)犯罪，這是一個事實。那些干壞事的 人很清楚這一點，所以他們不斷地把他們的行為轉(zhuǎn)向因特網(wǎng)所代表的安全空間。

DDoS減除策略

DDoS 攻擊永遠(yuǎn)無法被阻斷，這是由因特網(wǎng)的性質(zhì)所決定的。即使沒有僵尸網(wǎng)絡(luò)和各種復(fù)雜的工 具，任何人都可以鼓勵其他人去訪問某一網(wǎng)站，從而有效地發(fā)生請求溢出，破壞網(wǎng)站的穩(wěn)定性。我 們無數(shù)次看到過使用"點杠效應(yīng)(Slashdot effect)"進(jìn)行攻擊的例子。同樣是在愛沙尼亞和韓 國，就發(fā)生過煩躁民眾向攻擊對象發(fā)送大量請求，導(dǎo)致服務(wù)被迫中斷的情況。然而，我們可以對攻 擊進(jìn)行管理，對基礎(chǔ)構(gòu)架的配置進(jìn)行更改，避免其在此類攻擊中被濫用。

就象 20 世紀(jì) 90 年代采取的協(xié)同行動，通過更改默認(rèn)的路由器設(shè)置來阻斷"Smurf"攻擊一樣，開 放的遞歸式 DNS 服務(wù)器會對因特網(wǎng)的基礎(chǔ)構(gòu)架造成威脅，因為它們可以用來進(jìn)行 DNS 放大攻擊。 發(fā)現(xiàn)并配置好這些設(shè)施是一個重大的挑戰(zhàn)。在這方面幾乎還沒有取得任何進(jìn)展。

如果流量發(fā)生明顯的變化，則可以在入侵點對其進(jìn)行大規(guī)模的攔截，這樣對正常流量的中斷最小; 例如，在上游路由器處對所有 ICMP 回顯請求進(jìn)行過濾可以阻斷 Ping 泛洪攻擊。即使攻擊者向被 攻擊對象發(fā)送隨機數(shù)據(jù)包，具有這種特征的"異常"流量也能夠被安全攔截，從而減少帶寬的使用。

除非端點能夠?qū)?Akamai 等大型分布式主機的基礎(chǔ)構(gòu)架進(jìn)行訪問，否則很難在 DNS 層面上采取行 動來挫敗 DDoS 攻擊。為此，它們可以把攻擊流量分散到多個高度互連的節(jié)點上，從而針對攻擊 者筑起一道防護(hù)欄。除非把 DNS 條目完全下載到本地，否則 DNS 條目的短存活時間(TTL)值對 挫敗攻擊并沒有幫助，因為攻擊者總可以利用被攻擊對象的 IP 地址作為目標(biāo)。

對付大型 DDoS 攻擊最成功的策略是采用多向量方法。如果可以識別泛洪源 IP 地址，則可以在源 地址端把它們關(guān)閉，或者如果無法聯(lián)系服務(wù)商，則可以使用路由方法在通向網(wǎng)絡(luò)途中阻斷其流量(通過在路由器上執(zhí)行"單播反向路徑轉(zhuǎn)發(fā)"[Unicast Reverse Path Forwarding] 來實現(xiàn))。根據(jù) 攻擊的不同類型，也可以采用 SYN 代理等其他防護(hù)技術(shù)。此外，還可以使用高速線路過濾設(shè)備來 中斷額外流量或?qū)⑵湟?guī)模縮小到可接受的水平。

Arbor Networks 應(yīng)用智能和威脅減除

使用 10 Gbps Arbor Peakflow SP 威脅管理系統(tǒng)(TMS)設(shè)備的 Peakflow SP 是第一個能夠廣泛 集成網(wǎng)絡(luò)級智能和運營商級威脅管理的平臺。Arbor Peakflow SP TMS 是一種針對多服務(wù)融合式網(wǎng) 絡(luò)的應(yīng)用智能設(shè)備。它可以增強全網(wǎng)事態(tài)感知能力，并通過將高水平的威脅識別能力與數(shù)據(jù)包級分 析相結(jié)合，可更為迅速地采取措施。它可以補充和完善 Peakflow SP 的其它清洗技術(shù)，包括指紋 共享、邊界網(wǎng)關(guān)協(xié)議(BGP)黑洞路由選擇、BGP 流規(guī)范和對第三方產(chǎn)品的支持。

為了減少大規(guī)模 DDoS 攻擊帶來的附帶損害，服務(wù)商常常會阻斷前往受攻站點的所有流量，以籍 此阻斷 DDoS 攻擊。使用集成 TMS 設(shè)備，Arbor Networks 可以僅阻斷攻擊流量，從而保持可用的 服務(wù)和較高的客戶滿意度。Peakflow SP TMS 使服務(wù)商能夠在不中斷合法流量的情況下識別和阻 斷網(wǎng)絡(luò)和應(yīng)用層攻擊。Peakflow SP TMS 能夠提供具有高成本效益的網(wǎng)絡(luò)和應(yīng)用層威脅檢測、減 除和報告功能，從而使服務(wù)商可以維護(hù)關(guān)鍵 IP 業(yè)務(wù)。

Arbor 的領(lǐng)導(dǎo)作用促進(jìn)服務(wù)商之間的交流

大規(guī)模的 DDoS 攻擊不僅會影響既定的受攻擊對象，而且會影響到可能正在使用同一共享網(wǎng)絡(luò)服 務(wù)的其他用戶。Arbor Networks 在建立"指紋共享聯(lián)盟"等自動進(jìn)程上發(fā)揮了重要作用。"指紋共 享聯(lián)盟"是跨公司、大陸和海洋的一個打擊網(wǎng)絡(luò)攻擊活動的全球電信公司聯(lián)盟。Arbor Networks 向 Peakflow SP 添加了指紋共享功能，允許各公司在不泄露任何競爭性信息的情況下自動共享攻擊指 紋。

Peakflow SP 通過從網(wǎng)絡(luò)中的設(shè)備收集數(shù)據(jù)來完成這一功能，然后把數(shù)據(jù)相互關(guān)聯(lián)起來，以利于服 務(wù)商為網(wǎng)絡(luò)創(chuàng)建基線和檢測異常偏差，并把偏差標(biāo)記為異常。隨后，系統(tǒng)將決定異常情況是合法的 瞬時擁塞(例如在線事件發(fā)生期間)還是惡意攻擊。網(wǎng)絡(luò)管理員隨即決定是否對其進(jìn)行減除或保 留。

如果確認(rèn)是惡意攻擊，Peakflow SP 就會產(chǎn)生指紋，服務(wù)商可以通過選擇對等體自動安全地對其進(jìn) 行共享。網(wǎng)絡(luò)管理員可以完全控制誰能夠接收共享指紋，且網(wǎng)絡(luò)無需相鄰。指紋接收者在接收到發(fā) 送過來的指紋時，可以選擇接受或拒絕共享請求。

結(jié)論

近年來，僵尸網(wǎng)絡(luò)已成為推動惡意因特網(wǎng)行為發(fā)展的主要動力。僵尸網(wǎng)絡(luò)已變得越來越復(fù)雜，規(guī)模 也變得越來越大。同時，它們已被應(yīng)用于垃圾郵件、網(wǎng)絡(luò)釣魚和 ID 竊取等不斷擴大的各種方法 中。最近，僵尸網(wǎng)絡(luò)還被用于發(fā)起 DDoS 攻擊，成為政治示威的一種形式。雖然，我們還沒有看 到國家支持的網(wǎng)絡(luò)攻擊，但是大多數(shù)政府認(rèn)為兩個政府之間的此類因特網(wǎng)沖突是不可避免的。

鑒于此，解決僵尸網(wǎng)絡(luò)問題是服務(wù)商面臨的第一安全要務(wù)。 無論是通過"指紋共享聯(lián)盟"內(nèi)的創(chuàng)新和協(xié)作，還是通過我們對 ATLAS 的研究能力及我們的安全專家團隊，Arbor Networks 都將繼續(xù)發(fā)揮關(guān)鍵作用，幫助服務(wù)商確保其網(wǎng)絡(luò)的安全性、可用性和盈利性。

huanghui