金大剛

當前DDoS攻擊層出不窮，它雖然是網(wǎng)絡(luò)空間中一種最為簡單粗暴的攻擊方式，但卻讓全球大型服務(wù)提供商談虎色變。

當前DDOS攻擊層出不窮，它雖然是網(wǎng)絡(luò)空間中一種最為簡單粗暴的攻擊方式，但卻讓全球大型服務(wù)提供商談虎色變。為企業(yè)應(yīng)對未來威脅，助力行業(yè)發(fā)展，特此列舉幾個2016年全年中最為嚴重的DDoS攻擊事件以供參考分析。

首先是暴雪受DDoS攻擊事件。2016年4月，Lizard Squad組織對暴雪公司戰(zhàn)網(wǎng)服務(wù)器發(fā)起DDoS攻擊，包括《星際爭霸2》、《魔獸世界》、《暗黑破壞神3》在內(nèi)的重要游戲作品離線宕機，玩家無法登錄。

名為“Poodle Corp”的黑客組織也曾針對暴雪發(fā)起多次DDoS攻擊，三起事件在8月，還有一起攻擊事件在9月。攻擊不僅導(dǎo)致戰(zhàn)網(wǎng)服務(wù)器離線，平臺多款游戲均受到影響，包括《守望先鋒》、《魔獸世界》、《暗黑3》以及《爐石傳說》等，甚至連接主機平臺的玩家也遇到了登錄困難的問題。

緊接著是Mirai僵尸網(wǎng)絡(luò)攻擊Krebson Security事件。2016年9月20日，安全研究機構(gòu)KrebsonSecurity遭遇Mirai攻擊，當時被認為是有史以來最大的一次網(wǎng)絡(luò)攻擊之一。然而沒過多久，法國主機服務(wù)供應(yīng)商OVH也遭到了兩次攻擊，罪魁禍首同為Mirai。KrebsonSecurity被攻擊時流量達到了665GB，而OVH被攻擊時總流量則超過了1TB。

Mirai是一個十萬數(shù)量級別的僵尸網(wǎng)絡(luò)，由互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設(shè)備（網(wǎng)絡(luò)攝像頭等）構(gòu) 成，8月開始構(gòu)建，9月出現(xiàn)高潮。攻擊者通過猜測設(shè)備的默認用戶名和口令控制系統(tǒng)，將其納入到Botnet中，在需要的時候執(zhí)行各種惡意操作，包括發(fā)起DDoS攻擊，對互聯(lián)網(wǎng)造成巨大的威脅。而在美國的互聯(lián)網(wǎng)環(huán)境中造成了巨大影響。

2016年10月21日，提供動態(tài)DNS服務(wù)的Dyn DNS遭到了大規(guī)模DDoS攻擊，攻擊主要影響其位于美國東區(qū)的服務(wù)。此次攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問問題，其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Spotify和Shopify。攻擊導(dǎo)致這些網(wǎng)站一度癱瘓，Twitter甚至出現(xiàn)了近24小時無法訪問的局面。

而我國的DDoS攻擊事件雖沒有上述事件那么引人注目，但實際上多家機構(gòu)也遭受到類似的影響。國內(nèi)不少歷來對DDoS攻擊事件采取保守保密處理，并不對外大力宣揚，基本上都傾向于持極力“封鎖消息”態(tài)度據(jù)業(yè)內(nèi)人士爆料，從2009年著名的“7·18”事件—上海出租車牌照拍賣系統(tǒng)遭受DDoS攻擊，到中越網(wǎng)絡(luò)大戰(zhàn)，以及南方幾個電信大省DNS系統(tǒng)被DDoS攻擊嚴重干擾，國人對于DDoS攻擊談虎色變。

近年來，即便都在加強對DDoS防御的投入，但國內(nèi)一些大型著名的金融機構(gòu)也受到DDoS攻擊的傷害，雖然在行業(yè)內(nèi)的攻防演習(xí)每年都搞，還是出現(xiàn)過南方某知名交易所網(wǎng)站被模擬演習(xí)攻擊，雙“11”某銀行信用卡交易系統(tǒng)癱瘓幾個小時，銀聯(lián)下屬某機構(gòu)遭受 https類型的DDoS攻擊，等等。

就在今年年中，多家證券公司及互聯(lián)網(wǎng)金融公司又遭受“無敵艦隊”組織發(fā)起的DDoS攻擊勒索，這是繼“永恒之藍”勒索蠕蟲攻擊事件剛剛平息之后的國內(nèi)又一起著名的攻擊事件。這種巨量DDoS攻擊對目前主流的抗DDoS攻擊方式提出了嚴峻的挑戰(zhàn)。

據(jù)Arbor全球威脅情報系統(tǒng)ATLAS統(tǒng)計，“無敵艦隊”攻擊時，企業(yè)官網(wǎng)被大量的DDoS攻擊流量堵塞導(dǎo)致網(wǎng)站無法訪問，攻擊流量基本在1Gbps～60Gbps不等，攻擊時間在20分鐘到1個小時左右。勒索者會給企業(yè)發(fā)送郵件并要求支付10個比特幣（當時市值大約18萬人民幣），如果企業(yè)未在規(guī)定時間內(nèi)支付比特幣，將增加勒索比特幣的額度要求，并將DDoS攻擊流量增加到最大1Tbps。

受DDoS攻擊影響所及，市場上蘊含 DDoS防御功能的安全設(shè)備，一時之間成為搶手貨，產(chǎn)品需求瞬間激增。

回顧近年來的DDoS風(fēng)暴，卻有諸多值得深思之處，而過程中遺留的威脅線索，更加讓人怵目驚心。

過往的DDoS事件，僅出現(xiàn)流量攻擊單一形態(tài)，黑客借由大量封包塞爆客戶端的最后一公里（Last Mile）與電信骨干，縱然來勢兇猛，但一般安全管理者對它較為熟悉，若干專業(yè)底蘊較深的人士，也比較懂得防治之道；然而此次DDoS事件有所不同，在流量攻擊（Volumetric Attack）之外，驚見針對安全設(shè)備的狀態(tài)耗盡攻擊（State Exhaustion Attack）、網(wǎng)頁服務(wù)的應(yīng)用層攻擊（Application Attack）等先前少見的型態(tài)，尤其狀態(tài)耗盡攻擊現(xiàn)身的頻率，更堪稱三種形態(tài)之冠。

DDoS 趨勢出現(xiàn)變化更加令人猝不及防

隨著攻擊形態(tài)演變，再搭配這波DDoS事件顯露的其他征兆，即可據(jù)以分析今后DDoS攻擊趨勢。

趨勢之一是“攻擊量不斷攀升”，早年黑客動用數(shù)十Mbps、甚至1Gbps攻擊流量，便能發(fā)揮強大殺傷力，但現(xiàn)今用戶防御實力升級，黑客也順勢加碼，因而在2013年創(chuàng)造史上最大300Gbps攻擊流量，2014年更上層樓達到500Gbps，未來再破記錄的概率不低。

趨勢之二是“攻擊復(fù)雜度愈來愈高”，如前所述，黑客首次利用單一事件混搭多種攻擊形態(tài)，例如先發(fā)動狀態(tài)耗盡攻擊，接著發(fā)動流量攻擊，總之不管排列組合如何變化，都足以營造猝不及防之威脅性。

趨勢之三則是“攻擊頻率增加”。以往一年若出現(xiàn)2～3次DDoS攻擊，便頗具威脅效果，但如今可能一季時間，就發(fā)生高于過去一年總量的攻擊事件，特別是銀行，從前從未被DDoS攻擊者染指，但從2017年第二季度開始，發(fā)生于該產(chǎn)業(yè)的攻擊事件卻層出不窮，甚至出現(xiàn)一家家輪流挨打的場景，教人直覺事態(tài)不妙。endprint

研究機構(gòu)所見略同一致提倡多層次防御，面對急速升高的DDoS威脅，企業(yè)或機構(gòu)如何應(yīng)對？

來自全球各大權(quán)威性研究機構(gòu)的專業(yè)建議，其實已點亮指路明燈，因為不管是 Gartner、IDC、Frost & Sullivan、Ovum還是Infonetics，皆不約而同倡議“Layered DDoS Attack Protection”概念，即借由多層次防御手段，達到阻擋DDoS攻擊的效果。

細究各大研究機構(gòu)的見解，可歸納出多層次防御機制理應(yīng)包含的兩個關(guān)鍵組件，其一是駐地端防護設(shè)備，另一則是云端清洗服務(wù)，二者都很重要且缺一不可。

不少廠商打著防御DDoS的旗號，推出琳瑯滿目的解決方案，歸納它們處理DDoS攻擊流量的手段，大致不脫幾個主要“門派”。

第一是內(nèi)容傳遞網(wǎng)絡(luò)（CDN）。許多企業(yè)或機構(gòu)對外提供聯(lián)機服務(wù)的主要門戶，無非就是網(wǎng)站，所以有部分用戶認為，只要把與端口80或443相關(guān)的Web服務(wù)置于第三方CDN平臺，平時CDN服務(wù)供貨商會透過Proxy協(xié)助響應(yīng)外來請求，確保聯(lián)機服務(wù)運作如昔，而在遭受DDoS 攻擊時，CDN服務(wù)商將出手救援，巧妙利用”轉(zhuǎn)進”方式，讓用戶的Web服務(wù)轉(zhuǎn)換跑道至正常主機運行，維持服務(wù)不中斷。

第二是提供流量清洗服務(wù)的區(qū)域型電信運營商，標榜就近解決大流量攻擊威脅。第三 門派是國際流量清洗中心，因為具備世界級規(guī)模，所以能夠應(yīng)付的攻擊流量，自然遠大過區(qū)域型電信運營商。

最后一種門派，是防火墻、入侵防御系統(tǒng)（IPS）、網(wǎng)頁應(yīng)用程序防火墻（WAF）或廣域網(wǎng)負載均衡器（WANLinkLoadBalancer）等設(shè)備供貨商，紛紛利用既有產(chǎn)品基礎(chǔ)，增添DDoS防護的附加功能?？磥矸烙鶎嵙Ω魃盟L、百家爭鳴，令人眼花繚亂。

各大DDoS防護門派全都潛藏先天弱點

只不過，上述各門派都有滯礙難解的弱點，換言之，企業(yè)或機構(gòu)若一味倚賴這些產(chǎn)品或服務(wù)，恐將徒留防御縫隙，讓黑客有機可乘。

針對CDN，算是蘊藏最多“迷思”的一環(huán)。理由之一，運用轉(zhuǎn)進方式閃避DDoS侵襲，對于靜態(tài)網(wǎng)頁極具保護功效，但對于需要與后臺實時聯(lián)機撮合的動態(tài)網(wǎng)頁，則相對不適用；因為 CDN與后臺主機的聯(lián)機信道中，會充斥大量對話（Session），盡管大多是正常的交易請求，但也不乏惡意流量魚目混珠，此時誰能擋得下這些惡意流量？

答案是沒有！理由之二，只要是金融聯(lián)機服務(wù)，都涉及SSL加解密，所以欲將服務(wù)交付予第三方CDN平臺執(zhí)行，必須一并遞交私鑰，明顯有違金融法規(guī)，因此對于金融機構(gòu)，CDN這條路行不通。理由之三，CDN業(yè)者僅能協(xié)助提供HTTP或HTTPS等相關(guān)服務(wù)，但企業(yè)的關(guān)鍵應(yīng)用，絕不僅止于這些類型，一旦跳脫HTTP或HTTPS，CDN業(yè)者便愛莫能助；而現(xiàn)今越來越多黑客，都鎖定目標對象的真實IP發(fā)動攻擊，并非憑借DNS，如此黑客即可直接攻進企業(yè)家門。由此可見，不論非屬HTTP（S）服務(wù)或遭黑客鎖定真實IP，都讓CDN業(yè)者鞭長莫及，所以只要被打，幸存機會就不大。

至于區(qū)域性電信運營商，由于無法主動偵測應(yīng)用層攻擊或狀態(tài)耗損攻擊，再加上即使勉可強過濾攻擊流量，但因容量有限，只要容量用盡便無法執(zhí)行清洗，恐導(dǎo)致后續(xù)正常封包，也將被丟棄在“黑洞”之中。

而國際流量清洗中心皆利用海外機房執(zhí)行清洗任務(wù)，迫使用戶必須繞一大段路才能接受過濾服務(wù)，難免造成延遲（Latency），損及服務(wù)質(zhì)量；且由于國際流量清洗服務(wù)多建構(gòu)在“OnDemand”基礎(chǔ)，而非“AlwaysOn”性質(zhì)，所以用戶把流量導(dǎo)向清洗中心的過程，需歷經(jīng)通報時間、路由收斂時間，及清洗中心啟動過濾的時間，合計形成約0.5～1個小時空窗期，迫使用戶必須中斷服務(wù)。

談到防火墻或IPS等設(shè)備商提供的附加防御功能，則清一色陷入相同弱點，即是背負“最大連接數(shù)限制”這個先天宿命，所以黑客只要針對此弱點窮追猛打，僅需1～2分鐘，便可能癱瘓設(shè)備功能，使DDoS防護功能消失不見。

善用駐地“濾水器“”發(fā)揮預(yù)防疾病妙效

看到這里，不免讓人憂心，多種防御機制都出了問題，看似沒有任何一項可提供完整保護，該如何是好？

用戶必須承認，僅靠單一方案不足以解決問題，所以必須借重多層次防御架構(gòu)，至于個中關(guān)鍵組件的甄選標準，實有必要跳脫絕大多數(shù)安全方案（包含上述提及所有產(chǎn)品或服務(wù)）所聚焦的“治療”，轉(zhuǎn)而思考如何借由適當組件的組合運用，及早發(fā)揮“預(yù)防”效果，畢竟預(yù)防重于治療，是不變的真理。

若以風(fēng)災(zāi)過后的水質(zhì)問題作為比喻，解決問題之道，即是先在家中裝設(shè)濾水器，濾除雜質(zhì)、重金屬等有害人體健康的污染物，減少患疾病的概率，但如果無法單靠濾水器有效過濾，便需進入第二層防護機制，委托自來水廠從源頭進行過濾。濾水器與自來水廠，其關(guān)系好比駐地端防護設(shè)備、云端清洗服務(wù)。

以DDoS防御方案世界領(lǐng)導(dǎo)廠商ArborNetworks為例，屢次見證用戶陷入相同迷思，一般客戶認為只要接受云端清洗，便可濾除有害流量，怎料一經(jīng)架設(shè)Arbor的PravailAvailability ProtectionSystem（以下簡稱APS）設(shè)備，仍可從云端清洗過后的“干凈”流量，濾出攻擊封包，其余約莫1%～3%看似微小流量，更潛藏了夾帶PortScan或HostScan等任務(wù)的“探子馬”，不斷刺探目標對象的漏洞，借以描繪日后攻擊腳本，危害性甚至高于SYNFlood，而這些“污染物”，都被Arbor設(shè)備實時攔阻。

在此前提下，不論如同SYNFlood具有立即侵害性的病菌，或是伺機在人體器官潛伏擴散的有毒探子馬，都無法造成顯著危害，所以對用戶而言，便可靠著此一“預(yù)防”機制，讓大事化小、小事變無，不會任令小感冒演變成重感冒、肺炎甚至肺癌。

如果嘗試入侵的菌種數(shù)量過多，超越駐地設(shè)備的過濾容量，此時才動用“健?！睓C制，意即結(jié)合后端ArborCloud云端清洗服務(wù)，獲取必要的醫(yī)療資源，借由中央過濾而攔阻這些有害物質(zhì)。endprint

有效的多層次防御應(yīng)具備六大特征

綜上所述，面對DDoS攻擊，有效的多層次防御機制，理當具備六大特征。

第一，駐地端防護設(shè)備必須24小時全天候主動偵測各類型DDoS攻擊，包括流量攻擊、狀態(tài)耗盡攻擊與應(yīng)用層攻擊。

第二，駐地端防護設(shè)備只要偵測到攻擊流量，皆可立即阻檔。

第三，如同前述Arbor設(shè)備的實例，必須自動擋下探子馬，借此推遲黑客刺探軍情的頻率，以絕后患。

第四，為了避免出現(xiàn)如同防火墻等設(shè)備附加功能的弱點，因此用戶務(wù)必慎選“無狀態(tài)表”架構(gòu)（Stateless Architecture）的防護設(shè)備，以免讓黑客耗盡連接數(shù)量上限而攻擊得逞 APS即是典型例子。

第五，用戶宜跳脫設(shè)備規(guī)格的軍事競賽思維，不需過度計較其吞吐流量多大、操作界面多強，而應(yīng)關(guān)注其是否深具智慧，智慧的高低，取決于設(shè)備原廠是否有能力搜集大量資料，借由云端大數(shù)據(jù)分析萃取攻擊樣本，繼而以最快速度產(chǎn)生攻擊特征碼，終至回饋到前端設(shè)備；同樣以Arbor為例，它擁有全球95%一線電信運營商客戶，通過全世界300多電信運營商合作關(guān)系，Arbor的研究中心可以實時接收這些電信運營商提供的樣本流量信息，因此Arbor掌握了全球逾四成因特網(wǎng)實時流量信息，擁有最大機會，比競爭對手更快察覺新型攻擊樣態(tài)，從而實時建立指紋知識庫（Signature Database），協(xié)助用戶得以及時偵測并阻檔頑強的惡意攻擊。

第六，顧名思義，多層次防御理應(yīng)蘊含一個以上層次，也就是不宜僅靠駐地設(shè)備獨挑大梁，當APS遭遇難以自力排除的粗魯?shù)墓袅髁?，便?yīng)在第一時間自動向云端清洗中心主動發(fā)送求救訊號，便于遠程流量清洗中心縮短執(zhí)行路由收斂等前置暖身程序，便可及時展開流量過濾；而Arbor Cloud與APS之間，即具備這般緊密互動關(guān)系，此外環(huán)顧各大云端清洗中心，也仰賴Arbor設(shè)備執(zhí)行過濾任務(wù)，相形之下，Arbor彷佛駕馭自己建造的車，更懂得如何讓運作效能發(fā)揮到淋漓盡致。

不可否認，多數(shù)用戶都傾向采用便宜產(chǎn)品，或是僅想解決當下危難，秉承“頭痛醫(yī)頭、腳痛醫(yī)腳”原則而采用片段式解決方案，未能通盤思索DDoS防護之道，以致讓防御城墻徒留諸多破口。專家建議，欲求有效對抗DDoS，需事先擬妥完整DDoS防護政策，即使無法一步到位，亦可依循既定政策分階段布建防御工事，切忌只貪圖便宜。endprint