安全技巧：打赢僵尸网络DDoS攻防战

　　分布式拒绝服务攻击(DDoS)已经不是什么新名词，这种以暴力淹没目标网络或者服务器，从而使目标网络或者服务器无法处理正常请求的恶意行为，从2000年左右出现以来，一直是各种网络服务供应商们最为棘手的难题之一。然而，时至今日，人们并没有什么好的应对办法。相反，如今DDoS借助僵尸网络提供的“火力”(包括带宽、计算机等)频频发起更加猛烈的攻击，使得这一问题越发严重起来。

　　当DDoS

　　遇到僵尸网络

　　相关资料显示，DDoS攻击的规模和发生的频度这几年都有大幅度增长。根据网络安全控制解决方案供应商Arbor最新的网络安全调查，今年，全球网络最大的DDoS持续攻击规模超过了40Gbps，而2007年为24Gbps，与2003年的2.5Gbps相比增速更是惊人。成立于2000年的Arbor公司，每年都会对网络安全进行一次调查，这些调查共涉及全球100多个网络运营商，其中绝大多数是一级运营商和二级运营商。

　　Arbor的调查结果显示，今年的网络攻击有两个显著特点，一个是DDoS攻击的激烈程度增加明显，另一个是面向应用的攻击(如针对HTTP、VoIP、DNS)也存在明显上升态势。

　　“让互联网服务商感到事态更加复杂的事实是，专业的DDoS攻击往往涉及到成千上万的僵尸主机，这使得对DDoS攻击的预防和遏制都愈发困难。”Arbor公司联合创始人兼CTO罗马伦(Robert Malan)博士在接受记者采访时表示，“DDoS攻击的强度和大众化在过去的十年伴随着僵尸网络的上升而不断上升。”

　　据罗马伦博士介绍，发起DDoS攻击的主要原因有三个: 一类是不法的商家出于市场竞争的需要，向竞争对手的网站发起DDoS攻击，使其无法进行正常的运营。一些不良的在线网络游戏运营商和在线赌博网站较多采用这种方式; 另一类是政治或者宗教方面的原因，因为对某组织和机构不满而攻击对方的网站; 第三类是一些崇尚黑客技术的人出于好奇，借助网络上下载的工具发动DDoS攻击。

　　“实际上，大多数DDoS攻击都基于僵尸网络进行，我们的调查显示，一半以上的僵尸网络至少被用来发动过一次DDoS攻击。”罗马伦说。

　　综合防范DDoS攻击

　　DDoS攻击最为直接的后果是流量拥塞和带宽消耗，不仅影响既定的受攻击对象，而且影响使用统一共享网络的其他用户，因此，大型运营商对DDoS攻击也是深恶痛绝。为了防止DDoS攻击，运营商们也是费尽了心机，然而至今进展仍然不大。

　　“从目前来看，对付大规模的DDoS攻击最为有效的办法是综合采取多种手段。” 罗马伦博士说。比如，如果来源的IP地址可确定，攻击就可以被阻断在源头上; 如ISP无法联系源头，路由策略可以用来减少攻击通路(通过执行单播反向路径转发的路由器)。根据攻击类型，防御技术如SYN Proxy同步代理一样也可以工作。此外，不同级别的流量可以在线速DPI过滤设备上限速到可接受的水平。

　　罗马伦博士提醒说，为防止DDoS攻击，不同运营商之间的信息共享非常重要。因为面对每秒数10G的攻击规模，没有哪家运营商可以与这一攻击流量抗衡并维持正常的服务水平, 必须深入与其他互联网服务供应商合作，以帮助过滤流量。

　　比如，指纹共享联盟就是能有效阻断互联网攻击的一个行业性组织。在这个联盟内，一旦下游的运营商发现来自上游的网络流量中有DDoS攻击，可以告知上游的网络运营商，上游的运营商自己决定是否要追踪攻击的来源。通过这种合作可以把DDoS攻击阻止在网络边缘。事实上，Arbor公司正是指纹共享联盟的发起者。

　　Arbor还自己建立了一个聚集全球互联网攻击资料的平台ATLAS，它提供分析和采取行动的情报。据罗马伦介绍，全球90%的一级运营商和60%的二级运营商都是Arbor的客户，Arbor与其中多家运营商签署了合作协议，并在其网络内部部署 ATLAS 服务器，收集网络内部各类安全事件。Arbor公司的安全小组根据ATLAS 平台收集到的信息研究全球网络威胁的特征以及发展趋势，并向用户提供全球网络威胁分布报告，帮助用户实时检测网络内部各类新型的病毒以及攻击。

　　高效的流量清洗必不可少

　　“DDoS攻击是不太可能被完全停止的，即使没有僵尸网络和其他工具，人们仍然可以鼓励其他人同时访问同一网站，从而起到与DDoS攻击同样的效果。”罗马伦博士说，“如果遇到DDoS攻击，流量清洗就是最后一道屏障。”

　　网络流量清洗设备可以把异常流量阻止在网络入口点，而尽量不妨碍正常流量。比如，上游的路由器可以过滤到所有ICMP回应以中断Flooding攻击。不过，目前大多数流量清洗设备很难满足如此大的数据处理量的要求。

　　在流量清洗方面，罗马伦博士介绍说，Arbor有自己的特色。Arbor提供有应对DDoS等网络攻击的整体解决方案Peakflow SP，这是一个覆盖全网、采用入侵式关系模型的网络异常检测和清洗解决方案。该方案能提供单端口最高达10Gbps的手术式清洗能力。它与Arbor的网络威胁管理系统结合，可以帮助运营商检测出攻击流量并对其实施手术式清洗，从而保证合法的业务流量不受影响。