金大剛

當(dāng)前DDoS攻擊層出不窮，它雖然是網(wǎng)絡(luò)空間中一種最為簡(jiǎn)單粗暴的攻擊方式，但卻讓全球大型服務(wù)提供商談虎色變。

當(dāng)前DDOS攻擊層出不窮，它雖然是網(wǎng)絡(luò)空間中一種最為簡(jiǎn)單粗暴的攻擊方式，但卻讓全球大型服務(wù)提供商談虎色變。為企業(yè)應(yīng)對(duì)未來(lái)威脅，助力行業(yè)發(fā)展，特此列舉幾個(gè)2016年全年中最為嚴(yán)重的DDoS攻擊事件以供參考分析。

首先是暴雪受DDoS攻擊事件。2016年4月，Lizard Squad組織對(duì)暴雪公司戰(zhàn)網(wǎng)服務(wù)器發(fā)起DDoS攻擊，包括《星際爭(zhēng)霸2》、《魔獸世界》、《暗黑破壞神3》在內(nèi)的重要游戲作品離線宕機(jī)，玩家無(wú)法登錄。

名為“Poodle Corp”的黑客組織也曾針對(duì)暴雪發(fā)起多次DDoS攻擊，三起事件在8月，還有一起攻擊事件在9月。攻擊不僅導(dǎo)致戰(zhàn)網(wǎng)服務(wù)器離線，平臺(tái)多款游戲均受到影響，包括《守望先鋒》、《魔獸世界》、《暗黑3》以及《爐石傳說(shuō)》等，甚至連接主機(jī)平臺(tái)的玩家也遇到了登錄困難的問(wèn)題。

緊接著是Mirai僵尸網(wǎng)絡(luò)攻擊Krebson Security事件。2016年9月20日，安全研究機(jī)構(gòu)KrebsonSecurity遭遇Mirai攻擊，當(dāng)時(shí)被認(rèn)為是有史以來(lái)最大的一次網(wǎng)絡(luò)攻擊之一。然而沒(méi)過(guò)多久，法國(guó)主機(jī)服務(wù)供應(yīng)商OVH也遭到了兩次攻擊，罪魁禍?zhǔn)淄瑸镸irai。KrebsonSecurity被攻擊時(shí)流量達(dá)到了665GB，而OVH被攻擊時(shí)總流量則超過(guò)了1TB。

Mirai是一個(gè)十萬(wàn)數(shù)量級(jí)別的僵尸網(wǎng)絡(luò)，由互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設(shè)備（網(wǎng)絡(luò)攝像頭等）構(gòu) 成，8月開始構(gòu)建，9月出現(xiàn)高潮。攻擊者通過(guò)猜測(cè)設(shè)備的默認(rèn)用戶名和口令控制系統(tǒng)，將其納入到Botnet中，在需要的時(shí)候執(zhí)行各種惡意操作，包括發(fā)起DDoS攻擊，對(duì)互聯(lián)網(wǎng)造成巨大的威脅。而在美國(guó)的互聯(lián)網(wǎng)環(huán)境中造成了巨大影響。

2016年10月21日，提供動(dòng)態(tài)DNS服務(wù)的Dyn DNS遭到了大規(guī)模DDoS攻擊，攻擊主要影響其位于美國(guó)東區(qū)的服務(wù)。此次攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問(wèn)問(wèn)題，其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Spotify和Shopify。攻擊導(dǎo)致這些網(wǎng)站一度癱瘓，Twitter甚至出現(xiàn)了近24小時(shí)無(wú)法訪問(wèn)的局面。

而我國(guó)的DDoS攻擊事件雖沒(méi)有上述事件那么引人注目，但實(shí)際上多家機(jī)構(gòu)也遭受到類似的影響。國(guó)內(nèi)不少歷來(lái)對(duì)DDoS攻擊事件采取保守保密處理，并不對(duì)外大力宣揚(yáng)，基本上都傾向于持極力“封鎖消息”態(tài)度據(jù)業(yè)內(nèi)人士爆料，從2009年著名的“7·18”事件—上海出租車牌照拍賣系統(tǒng)遭受DDoS攻擊，到中越網(wǎng)絡(luò)大戰(zhàn)，以及南方幾個(gè)電信大省DNS系統(tǒng)被DDoS攻擊嚴(yán)重干擾，國(guó)人對(duì)于DDoS攻擊談虎色變。

近年來(lái)，即便都在加強(qiáng)對(duì)DDoS防御的投入，但國(guó)內(nèi)一些大型著名的金融機(jī)構(gòu)也受到DDoS攻擊的傷害，雖然在行業(yè)內(nèi)的攻防演習(xí)每年都搞，還是出現(xiàn)過(guò)南方某知名交易所網(wǎng)站被模擬演習(xí)攻擊，雙“11”某銀行信用卡交易系統(tǒng)癱瘓幾個(gè)小時(shí)，銀聯(lián)下屬某機(jī)構(gòu)遭受 https類型的DDoS攻擊，等等。

就在今年年中，多家證券公司及互聯(lián)網(wǎng)金融公司又遭受“無(wú)敵艦隊(duì)”組織發(fā)起的DDoS攻擊勒索，這是繼“永恒之藍(lán)”勒索蠕蟲攻擊事件剛剛平息之后的國(guó)內(nèi)又一起著名的攻擊事件。這種巨量DDoS攻擊對(duì)目前主流的抗DDoS攻擊方式提出了嚴(yán)峻的挑戰(zhàn)。

據(jù)Arbor全球威脅情報(bào)系統(tǒng)ATLAS統(tǒng)計(jì)，“無(wú)敵艦隊(duì)”攻擊時(shí)，企業(yè)官網(wǎng)被大量的DDoS攻擊流量堵塞導(dǎo)致網(wǎng)站無(wú)法訪問(wèn)，攻擊流量基本在1Gbps～60Gbps不等，攻擊時(shí)間在20分鐘到1個(gè)小時(shí)左右。勒索者會(huì)給企業(yè)發(fā)送郵件并要求支付10個(gè)比特幣（當(dāng)時(shí)市值大約18萬(wàn)人民幣），如果企業(yè)未在規(guī)定時(shí)間內(nèi)支付比特幣，將增加勒索比特幣的額度要求，并將DDoS攻擊流量增加到最大1Tbps。

受DDoS攻擊影響所及，市場(chǎng)上蘊(yùn)含 DDoS防御功能的安全設(shè)備，一時(shí)之間成為搶手貨，產(chǎn)品需求瞬間激增。

回顧近年來(lái)的DDoS風(fēng)暴，卻有諸多值得深思之處，而過(guò)程中遺留的威脅線索，更加讓人怵目驚心。

過(guò)往的DDoS事件，僅出現(xiàn)流量攻擊單一形態(tài)，黑客借由大量封包塞爆客戶端的最后一公里（Last Mile）與電信骨干，縱然來(lái)勢(shì)兇猛，但一般安全管理者對(duì)它較為熟悉，若干專業(yè)底蘊(yùn)較深的人士，也比較懂得防治之道；然而此次DDoS事件有所不同，在流量攻擊（Volumetric Attack）之外，驚見(jiàn)針對(duì)安全設(shè)備的狀態(tài)耗盡攻擊（State Exhaustion Attack）、網(wǎng)頁(yè)服務(wù)的應(yīng)用層攻擊（Application Attack）等先前少見(jiàn)的型態(tài)，尤其狀態(tài)耗盡攻擊現(xiàn)身的頻率，更堪稱三種形態(tài)之冠。

DDoS 趨勢(shì)出現(xiàn)變化更加令人猝不及防

隨著攻擊形態(tài)演變，再搭配這波DDoS事件顯露的其他征兆，即可據(jù)以分析今后DDoS攻擊趨勢(shì)。

趨勢(shì)之一是“攻擊量不斷攀升”，早年黑客動(dòng)用數(shù)十Mbps、甚至1Gbps攻擊流量，便能發(fā)揮強(qiáng)大殺傷力，但現(xiàn)今用戶防御實(shí)力升級(jí)，黑客也順勢(shì)加碼，因而在2013年創(chuàng)造史上最大300Gbps攻擊流量，2014年更上層樓達(dá)到500Gbps，未來(lái)再破記錄的概率不低。

趨勢(shì)之二是“攻擊復(fù)雜度愈來(lái)愈高”，如前所述，黑客首次利用單一事件混搭多種攻擊形態(tài)，例如先發(fā)動(dòng)狀態(tài)耗盡攻擊，接著發(fā)動(dòng)流量攻擊，總之不管排列組合如何變化，都足以營(yíng)造猝不及防之威脅性。

趨勢(shì)之三則是“攻擊頻率增加”。以往一年若出現(xiàn)2～3次DDoS攻擊，便頗具威脅效果，但如今可能一季時(shí)間，就發(fā)生高于過(guò)去一年總量的攻擊事件，特別是銀行，從前從未被DDoS攻擊者染指，但從2017年第二季度開始，發(fā)生于該產(chǎn)業(yè)的攻擊事件卻層出不窮，甚至出現(xiàn)一家家輪流挨打的場(chǎng)景，教人直覺(jué)事態(tài)不妙。endprint

研究機(jī)構(gòu)所見(jiàn)略同一致提倡多層次防御，面對(duì)急速升高的DDoS威脅，企業(yè)或機(jī)構(gòu)如何應(yīng)對(duì)？

來(lái)自全球各大權(quán)威性研究機(jī)構(gòu)的專業(yè)建議，其實(shí)已點(diǎn)亮指路明燈，因?yàn)椴还苁?Gartner、IDC、Frost & Sullivan、Ovum還是Infonetics，皆不約而同倡議“Layered DDoS Attack Protection”概念，即借由多層次防御手段，達(dá)到阻擋DDoS攻擊的效果。

細(xì)究各大研究機(jī)構(gòu)的見(jiàn)解，可歸納出多層次防御機(jī)制理應(yīng)包含的兩個(gè)關(guān)鍵組件，其一是駐地端防護(hù)設(shè)備，另一則是云端清洗服務(wù)，二者都很重要且缺一不可。

不少?gòu)S商打著防御DDoS的旗號(hào)，推出琳瑯滿目的解決方案，歸納它們處理DDoS攻擊流量的手段，大致不脫幾個(gè)主要“門派”。

第一是內(nèi)容傳遞網(wǎng)絡(luò)（CDN）。許多企業(yè)或機(jī)構(gòu)對(duì)外提供聯(lián)機(jī)服務(wù)的主要門戶，無(wú)非就是網(wǎng)站，所以有部分用戶認(rèn)為，只要把與端口80或443相關(guān)的Web服務(wù)置于第三方CDN平臺(tái)，平時(shí)CDN服務(wù)供貨商會(huì)透過(guò)Proxy協(xié)助響應(yīng)外來(lái)請(qǐng)求，確保聯(lián)機(jī)服務(wù)運(yùn)作如昔，而在遭受DDoS 攻擊時(shí)，CDN服務(wù)商將出手救援，巧妙利用”轉(zhuǎn)進(jìn)”方式，讓用戶的Web服務(wù)轉(zhuǎn)換跑道至正常主機(jī)運(yùn)行，維持服務(wù)不中斷。

第二是提供流量清洗服務(wù)的區(qū)域型電信運(yùn)營(yíng)商，標(biāo)榜就近解決大流量攻擊威脅。第三 門派是國(guó)際流量清洗中心，因?yàn)榫邆涫澜缂?jí)規(guī)模，所以能夠應(yīng)付的攻擊流量，自然遠(yuǎn)大過(guò)區(qū)域型電信運(yùn)營(yíng)商。

最后一種門派，是防火墻、入侵防御系統(tǒng)（IPS）、網(wǎng)頁(yè)應(yīng)用程序防火墻（WAF）或廣域網(wǎng)負(fù)載均衡器（WANLinkLoadBalancer）等設(shè)備供貨商，紛紛利用既有產(chǎn)品基礎(chǔ)，增添DDoS防護(hù)的附加功能?？磥?lái)防御實(shí)力各擅所長(zhǎng)、百家爭(zhēng)鳴，令人眼花繚亂。

各大DDoS防護(hù)門派全都潛藏先天弱點(diǎn)

只不過(guò)，上述各門派都有滯礙難解的弱點(diǎn)，換言之，企業(yè)或機(jī)構(gòu)若一味倚賴這些產(chǎn)品或服務(wù)，恐將徒留防御縫隙，讓黑客有機(jī)可乘。

針對(duì)CDN，算是蘊(yùn)藏最多“迷思”的一環(huán)。理由之一，運(yùn)用轉(zhuǎn)進(jìn)方式閃避DDoS侵襲，對(duì)于靜態(tài)網(wǎng)頁(yè)極具保護(hù)功效，但對(duì)于需要與后臺(tái)實(shí)時(shí)聯(lián)機(jī)撮合的動(dòng)態(tài)網(wǎng)頁(yè)，則相對(duì)不適用；因?yàn)?CDN與后臺(tái)主機(jī)的聯(lián)機(jī)信道中，會(huì)充斥大量對(duì)話（Session），盡管大多是正常的交易請(qǐng)求，但也不乏惡意流量魚目混珠，此時(shí)誰(shuí)能擋得下這些惡意流量？

答案是沒(méi)有！理由之二，只要是金融聯(lián)機(jī)服務(wù)，都涉及SSL加解密，所以欲將服務(wù)交付予第三方CDN平臺(tái)執(zhí)行，必須一并遞交私鑰，明顯有違金融法規(guī)，因此對(duì)于金融機(jī)構(gòu)，CDN這條路行不通。理由之三，CDN業(yè)者僅能協(xié)助提供HTTP或HTTPS等相關(guān)服務(wù)，但企業(yè)的關(guān)鍵應(yīng)用，絕不僅止于這些類型，一旦跳脫HTTP或HTTPS，CDN業(yè)者便愛(ài)莫能助；而現(xiàn)今越來(lái)越多黑客，都鎖定目標(biāo)對(duì)象的真實(shí)IP發(fā)動(dòng)攻擊，并非憑借DNS，如此黑客即可直接攻進(jìn)企業(yè)家門。由此可見(jiàn)，不論非屬HTTP（S）服務(wù)或遭黑客鎖定真實(shí)IP，都讓CDN業(yè)者鞭長(zhǎng)莫及，所以只要被打，幸存機(jī)會(huì)就不大。

至于區(qū)域性電信運(yùn)營(yíng)商，由于無(wú)法主動(dòng)偵測(cè)應(yīng)用層攻擊或狀態(tài)耗損攻擊，再加上即使勉可強(qiáng)過(guò)濾攻擊流量，但因容量有限，只要容量用盡便無(wú)法執(zhí)行清洗，恐導(dǎo)致后續(xù)正常封包，也將被丟棄在“黑洞”之中。

而國(guó)際流量清洗中心皆利用海外機(jī)房執(zhí)行清洗任務(wù)，迫使用戶必須繞一大段路才能接受過(guò)濾服務(wù)，難免造成延遲（Latency），損及服務(wù)質(zhì)量；且由于國(guó)際流量清洗服務(wù)多建構(gòu)在“OnDemand”基礎(chǔ)，而非“AlwaysOn”性質(zhì)，所以用戶把流量導(dǎo)向清洗中心的過(guò)程，需歷經(jīng)通報(bào)時(shí)間、路由收斂時(shí)間，及清洗中心啟動(dòng)過(guò)濾的時(shí)間，合計(jì)形成約0.5～1個(gè)小時(shí)空窗期，迫使用戶必須中斷服務(wù)。

談到防火墻或IPS等設(shè)備商提供的附加防御功能，則清一色陷入相同弱點(diǎn)，即是背負(fù)“最大連接數(shù)限制”這個(gè)先天宿命，所以黑客只要針對(duì)此弱點(diǎn)窮追猛打，僅需1～2分鐘，便可能癱瘓?jiān)O(shè)備功能，使DDoS防護(hù)功能消失不見(jiàn)。

善用駐地“濾水器“”發(fā)揮預(yù)防疾病妙效

看到這里，不免讓人憂心，多種防御機(jī)制都出了問(wèn)題，看似沒(méi)有任何一項(xiàng)可提供完整保護(hù)，該如何是好？

用戶必須承認(rèn)，僅靠單一方案不足以解決問(wèn)題，所以必須借重多層次防御架構(gòu)，至于個(gè)中關(guān)鍵組件的甄選標(biāo)準(zhǔn)，實(shí)有必要跳脫絕大多數(shù)安全方案（包含上述提及所有產(chǎn)品或服務(wù)）所聚焦的“治療”，轉(zhuǎn)而思考如何借由適當(dāng)組件的組合運(yùn)用，及早發(fā)揮“預(yù)防”效果，畢竟預(yù)防重于治療，是不變的真理。

若以風(fēng)災(zāi)過(guò)后的水質(zhì)問(wèn)題作為比喻，解決問(wèn)題之道，即是先在家中裝設(shè)濾水器，濾除雜質(zhì)、重金屬等有害人體健康的污染物，減少患疾病的概率，但如果無(wú)法單靠濾水器有效過(guò)濾，便需進(jìn)入第二層防護(hù)機(jī)制，委托自來(lái)水廠從源頭進(jìn)行過(guò)濾。濾水器與自來(lái)水廠，其關(guān)系好比駐地端防護(hù)設(shè)備、云端清洗服務(wù)。

以DDoS防御方案世界領(lǐng)導(dǎo)廠商ArborNetworks為例，屢次見(jiàn)證用戶陷入相同迷思，一般客戶認(rèn)為只要接受云端清洗，便可濾除有害流量，怎料一經(jīng)架設(shè)Arbor的PravailAvailability ProtectionSystem（以下簡(jiǎn)稱APS）設(shè)備，仍可從云端清洗過(guò)后的“干凈”流量，濾出攻擊封包，其余約莫1%～3%看似微小流量，更潛藏了夾帶PortScan或HostScan等任務(wù)的“探子馬”，不斷刺探目標(biāo)對(duì)象的漏洞，借以描繪日后攻擊腳本，危害性甚至高于SYNFlood，而這些“污染物”，都被Arbor設(shè)備實(shí)時(shí)攔阻。

在此前提下，不論如同SYNFlood具有立即侵害性的病菌，或是伺機(jī)在人體器官潛伏擴(kuò)散的有毒探子馬，都無(wú)法造成顯著危害，所以對(duì)用戶而言，便可靠著此一“預(yù)防”機(jī)制，讓大事化小、小事變無(wú)，不會(huì)任令小感冒演變成重感冒、肺炎甚至肺癌。

如果嘗試入侵的菌種數(shù)量過(guò)多，超越駐地設(shè)備的過(guò)濾容量，此時(shí)才動(dòng)用“健?！睓C(jī)制，意即結(jié)合后端ArborCloud云端清洗服務(wù)，獲取必要的醫(yī)療資源，借由中央過(guò)濾而攔阻這些有害物質(zhì)。endprint

有效的多層次防御應(yīng)具備六大特征

綜上所述，面對(duì)DDoS攻擊，有效的多層次防御機(jī)制，理當(dāng)具備六大特征。

第一，駐地端防護(hù)設(shè)備必須24小時(shí)全天候主動(dòng)偵測(cè)各類型DDoS攻擊，包括流量攻擊、狀態(tài)耗盡攻擊與應(yīng)用層攻擊。

第二，駐地端防護(hù)設(shè)備只要偵測(cè)到攻擊流量，皆可立即阻檔。

第三，如同前述Arbor設(shè)備的實(shí)例，必須自動(dòng)擋下探子馬，借此推遲黑客刺探軍情的頻率，以絕后患。

第四，為了避免出現(xiàn)如同防火墻等設(shè)備附加功能的弱點(diǎn)，因此用戶務(wù)必慎選“無(wú)狀態(tài)表”架構(gòu)（Stateless Architecture）的防護(hù)設(shè)備，以免讓黑客耗盡連接數(shù)量上限而攻擊得逞 APS即是典型例子。

第五，用戶宜跳脫設(shè)備規(guī)格的軍事競(jìng)賽思維，不需過(guò)度計(jì)較其吞吐流量多大、操作界面多強(qiáng)，而應(yīng)關(guān)注其是否深具智慧，智慧的高低，取決于設(shè)備原廠是否有能力搜集大量資料，借由云端大數(shù)據(jù)分析萃取攻擊樣本，繼而以最快速度產(chǎn)生攻擊特征碼，終至回饋到前端設(shè)備；同樣以Arbor為例，它擁有全球95%一線電信運(yùn)營(yíng)商客戶，通過(guò)全世界300多電信運(yùn)營(yíng)商合作關(guān)系，Arbor的研究中心可以實(shí)時(shí)接收這些電信運(yùn)營(yíng)商提供的樣本流量信息，因此Arbor掌握了全球逾四成因特網(wǎng)實(shí)時(shí)流量信息，擁有最大機(jī)會(huì)，比競(jìng)爭(zhēng)對(duì)手更快察覺(jué)新型攻擊樣態(tài)，從而實(shí)時(shí)建立指紋知識(shí)庫(kù)（Signature Database），協(xié)助用戶得以及時(shí)偵測(cè)并阻檔頑強(qiáng)的惡意攻擊。

第六，顧名思義，多層次防御理應(yīng)蘊(yùn)含一個(gè)以上層次，也就是不宜僅靠駐地設(shè)備獨(dú)挑大梁，當(dāng)APS遭遇難以自力排除的粗魯?shù)墓袅髁?，便?yīng)在第一時(shí)間自動(dòng)向云端清洗中心主動(dòng)發(fā)送求救訊號(hào)，便于遠(yuǎn)程流量清洗中心縮短執(zhí)行路由收斂等前置暖身程序，便可及時(shí)展開流量過(guò)濾；而Arbor Cloud與APS之間，即具備這般緊密互動(dòng)關(guān)系，此外環(huán)顧各大云端清洗中心，也仰賴Arbor設(shè)備執(zhí)行過(guò)濾任務(wù)，相形之下，Arbor彷佛駕馭自己建造的車，更懂得如何讓運(yùn)作效能發(fā)揮到淋漓盡致。

不可否認(rèn)，多數(shù)用戶都傾向采用便宜產(chǎn)品，或是僅想解決當(dāng)下危難，秉承“頭痛醫(yī)頭、腳痛醫(yī)腳”原則而采用片段式解決方案，未能通盤思索DDoS防護(hù)之道，以致讓防御城墻徒留諸多破口。專家建議，欲求有效對(duì)抗DDoS，需事先擬妥完整DDoS防護(hù)政策，即使無(wú)法一步到位，亦可依循既定政策分階段布建防御工事，切忌只貪圖便宜。endprint