譚倫

1.35TB/s，隨著2018年發(fā)生在全球著名代碼托管網(wǎng)站GitHub的DDoS攻擊峰值定格在這一數(shù)字，這一事件也成為了2018年網(wǎng)絡(luò)安全領(lǐng)域最受關(guān)注的焦點新聞。

事件背后，業(yè)界對DDoS攻擊引發(fā)的憂思正在加劇。尤其是在通信領(lǐng)域，5G的臨近與云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)和工業(yè)4.0等技術(shù)與概念的落地，使得DDoS攻擊正呈現(xiàn)新的特征，電信運營商面臨著巨大的安全新挑戰(zhàn)。

據(jù)日前由綠盟科技聯(lián)合中國電信發(fā)布的《2018DDoS攻擊態(tài)勢報告》（下文簡稱“《報告》”）顯示，2018年全球DDoS攻擊次數(shù)為14.8萬次，攻擊總流量64.31萬TB，與2017年相比，單次攻擊平均峰值達(dá)42.8Gbps，同比增加204%，中大型攻擊規(guī)模逐年增大。其中，作為各行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的提供者，云服務(wù)/IDC成為受DDoS攻擊最多的行業(yè)。地域分布上，中國依然是DDoS攻擊受控攻擊源最多的國家，也是受攻擊最嚴(yán)重的國家。

通信領(lǐng)域的安全新形勢

“DDoS的危害不僅限于網(wǎng)絡(luò)方面，還能夠危害通過網(wǎng)絡(luò)提供服務(wù)的各種業(yè)務(wù)?！必?fù)責(zé)推進(jìn)此次報告的綠盟科技天樞實驗室負(fù)責(zé)人范敦球向《通信產(chǎn)業(yè)報》（網(wǎng)）記者表示，如今的通信運營商不僅提供網(wǎng)絡(luò)側(cè)基礎(chǔ)措施，同時也開展很多IaaS業(yè)務(wù)，能夠提供網(wǎng)絡(luò)、計算、存儲和云服務(wù)，從而成為DDoS的熱門攻擊目標(biāo)。

范敦球指出，2018年DDoS攻擊對通信運營商網(wǎng)絡(luò)安全的威脅主要體現(xiàn)在三個方面：帶寬資源、計算資源和防御成本。

首先，DDoS攻擊將占用更多帶寬資源。《報告》顯示，2018年DDoS攻擊平均峰值達(dá)42.8Gbps，和2017年的14.1Gbps相比，增加了2倍有余。尤其是在2018年下半年，平均峰值達(dá)到67Gbps，攻擊規(guī)模和攻擊能力都在上升。

其次，攻擊者采用多種攻擊手段，模擬正常用戶訪問，占用攻擊目標(biāo)計算資源，進(jìn)而影響服務(wù)質(zhì)量。

再次，對防御方來說，需要面對不同協(xié)議、不同資源的分布式攻擊，分析、響應(yīng)和處理的成本就會大大增加。

物聯(lián)網(wǎng)怎么辦

物聯(lián)網(wǎng)的興起，也造就了DDoS攻擊最為活躍的領(lǐng)域?！秷蟾妗凤@示，2018年，參與DDoS攻擊的物聯(lián)網(wǎng)設(shè)備總量超過23萬，惡意軟件利用的漏洞涵蓋多種物聯(lián)網(wǎng)設(shè)備。DDoS攻擊源IP中有3.14%為物聯(lián)網(wǎng)設(shè)備，雖然占比較小，但是由于DDoS攻擊源IP的基數(shù)較大，物聯(lián)網(wǎng)設(shè)備所進(jìn)行的DDoS攻擊仍然不可小覷。

“IoT設(shè)備暴露在互聯(lián)網(wǎng)中，更容易被承載DDoS功能的惡意樣本進(jìn)行掃描和傳播。”工信部賽迪智庫網(wǎng)絡(luò)安全研究所所長劉權(quán)告訴記者，IoT設(shè)備之所以受DDoS攻擊“青睞”，與物聯(lián)網(wǎng)設(shè)備的特性有密切關(guān)系。同時，物聯(lián)網(wǎng)設(shè)備一般具備多平臺屬性，從而為DDoS攻擊跨多平臺傳播提供了便利。

截至2018年，全球物聯(lián)網(wǎng)設(shè)備數(shù)量已達(dá)70億，Gartner預(yù)計這一數(shù)字到2020年將增至500億。物聯(lián)網(wǎng)安全形勢顯然已迫在眉睫。

對此，范敦球認(rèn)為，物聯(lián)網(wǎng)的DDoS威脅需要依靠大數(shù)據(jù)技術(shù)和安全聯(lián)盟來應(yīng)對。

“首先，需要做好可利用漏洞的跟蹤、監(jiān)控和修復(fù)。”范敦球表示，物聯(lián)網(wǎng)設(shè)備的生產(chǎn)廠商眾多，軟硬件版本也更加碎片化，對漏洞的警惕必須走在最前。

其次，要擴大對物聯(lián)網(wǎng)設(shè)備的感知能力，結(jié)合威脅情報，及時了解互聯(lián)網(wǎng)中各類物聯(lián)網(wǎng)設(shè)備的分布規(guī)模、影響范圍。“結(jié)合威脅情報，就能知道哪些種類的物聯(lián)網(wǎng)設(shè)備容易被攻擊者利用?！狈抖厍蜓a充道。

此外，運營商和安全廠商需要進(jìn)一步聯(lián)合，共享威脅情報，共同治理。

SDN/NFV：防御利器

對通信業(yè)來說，網(wǎng)絡(luò)層基礎(chǔ)設(shè)施是重要的產(chǎn)業(yè)資源，因此，如何從網(wǎng)絡(luò)層應(yīng)對和預(yù)防DDoS攻擊成為業(yè)界最關(guān)注的問題?！秷蟾妗分赋?，網(wǎng)絡(luò)架構(gòu)技術(shù)升級是電信運營商應(yīng)對DDoS攻擊的有效方式，而SDN/NFV無疑是最重要的技術(shù)之一。

“DDoS的防御往往需要網(wǎng)絡(luò)設(shè)備和安全設(shè)備的配合，那么更快的響應(yīng)速度就需要網(wǎng)絡(luò)設(shè)備和安全設(shè)備在功能和防御流程上能夠?qū)崿F(xiàn)有效編排，而這種編排能力正是SDN和NFV擅長的?！狈抖厍蚍Q，短時攻擊的增加需要防御者用更快的響應(yīng)速度才能有效制止DDoS攻擊，而SDN/NFV的部署對安全防護(hù)最重要的點就是該技術(shù)帶來的彈性。

具體來說，一種行之有效的方案是使用SDN來調(diào)度流量，當(dāng)可疑流量調(diào)度到清洗中心后，用NFV動態(tài)調(diào)整資源，配置相匹配的清洗能力，然后再將干凈的流量回注給最終用戶。通過SDN和NFV，能夠有效縮短響應(yīng)時間，同時也能減少人力成本。

以目前業(yè)界關(guān)注的5G邊緣云安全為例，范敦球表示，由于MEC邊緣節(jié)點通常會使用云計算的技術(shù)構(gòu)建，所以流量清洗、應(yīng)用層處理都可以通過SDN與NFV實現(xiàn)，而資源動態(tài)調(diào)整則是NFV管理體系所具備的能力。因此，MEC的安全機制將會成為云計算和邊緣計算融合后所應(yīng)具備新的安全防護(hù)能力。

網(wǎng)絡(luò)大國的安全努力

雖然在2018年DDoS攻擊地域分布上，中國是DDoS受控攻擊源最多，同時受攻擊也最嚴(yán)重的國家，但此次報告的另一數(shù)據(jù)也不可忽視?！秷蟾妗繁砻鳎?018年DDoS攻擊總次數(shù)比2017年下降28.4%，其中平均每月反射攻擊下降0.93萬次。

報告指出，反射攻擊數(shù)量的降低是整體攻擊量下降的重要因素，說明國家監(jiān)管機構(gòu)和電信運營商長期以來對反射攻擊的治理顯現(xiàn)成效。

“國家互聯(lián)網(wǎng)應(yīng)急中心2012年開始組織各省分中心，聯(lián)合各地運營商、云服務(wù)商等對我國境內(nèi)的攻擊資源進(jìn)行了專項治理，在2017年底開始加大了對DDoS攻擊資源的清理力度?！狈抖厍蚍治隽宋覈瓷涔魯?shù)量降低的主要原因。

據(jù)范敦球介紹，有關(guān)部門有針對性的治理手段包括使用虛假源地址治理及對反射攻擊源通告等?！巴ㄟ^治理，我國有效減少了反射攻擊的成功率，迫使攻擊者轉(zhuǎn)向其它攻擊手段。”范敦球表示。

而來自國家互聯(lián)網(wǎng)應(yīng)急中心的攻擊資源報告也顯示，我國境內(nèi)存在大量可被利用的反射資源。在以往的攻擊中，利用境內(nèi)反射資源的攻擊比例也遠(yuǎn)大于利用境外反射資源的比例?！耙虼耍卫硎鞘钟斜匾?。”范敦球補充強調(diào)道。

此外，安全廠商的努力也不可忽視。以范敦球所在的綠盟科技為例，作為國內(nèi)網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)軍企業(yè)，綠盟近年來不僅為運營商提供DDoS清洗設(shè)備，還助力運營商在多個省份建立清洗中心、抗D增值運營平臺等，并完善清洗運營體系并提供相應(yīng)的運營服務(wù)，結(jié)合情報來治理DDoS源頭。同時在抗D基礎(chǔ)上，幫助運營商建設(shè)安全態(tài)勢平臺，提供除抗D以外的安全能力，在監(jiān)測、防護(hù)、反制、運營等方面保障用戶業(yè)務(wù)順暢運行。