■ 徐開勇

長期以來，安全專家一直在關(guān)注DDoS攻擊日漸增大的規(guī)模和頻率。據(jù)報道，在世界某些地方，任何時候都在經(jīng)歷著數(shù)千次攻擊，因此，大型機構(gòu)必須加強自己的防御措施，這對許多組織來說已經(jīng)成為一項日?；顒?。

在“NETSCOUT威脅形勢報告”中，我們的研究人員發(fā)現(xiàn)，攻擊的頻率在2017到2018年實際上呈下降趨勢，但對于備受困擾的安全團隊，這個消息帶來的一絲安慰很快被另一個令人擔憂的趨勢抵消：攻擊的規(guī)模出現(xiàn)了成倍增長，時常遠遠超過許多服務提供商認為安全的防御能力。DDoS已經(jīng)進入TB時代。

根 據(jù)NETSCOUT的ATLAS安全工程和響應團隊（ASERT）提供的資料，2018年上半年，最大的DDoS攻擊規(guī)模比2017年同期增長了174%。實際上，2018年2月，北美某大型服務提供商遭到1.7TB的攻擊，是有史以來最大規(guī)模的攻擊。幸運的是，由于該客戶的架構(gòu)設計優(yōu)良且采用分布式部署，并且做好了應對突發(fā)事件的準備，結(jié)合其多層Arbor DDoS解決方案，他們得以成功緩解攻擊，未造成服務中斷。然而，這次攻擊強調(diào)了一個新的事實：為應對300GB 范圍內(nèi)的攻擊而設計的防御措施已經(jīng)無法滿足要求，甚至是具備1TB防御能力的基礎(chǔ)設施也處于風險之中。

Memcached攻擊的出現(xiàn)

這次創(chuàng)紀錄的攻擊事件是去年已經(jīng)出現(xiàn)的Memcached攻擊的一個例子，之所以這樣判斷是因為它們利用用于加快網(wǎng)站數(shù)據(jù)訪問速度的緩存服務器中的漏洞。Memcached是一款免費的開源軟件，大量部署于云服務基礎(chǔ)設施和企業(yè)網(wǎng)絡中，具有增大帶寬的效果。2月份這次攻擊背后的開發(fā)者在Memcached軟件包中發(fā)現(xiàn)了一個設計漏洞，這讓他們能夠利用大量的服務提供商帶寬構(gòu)建和發(fā)起前所未有的大規(guī)模攻擊。

開源軟件通常未經(jīng)過足夠的漏洞測試就急忙投放到市場中，供用戶免費使用，由于開源軟件不斷擴散，可以說這種攻擊不會在發(fā)生一次后就平息下來。安全團隊應該會發(fā)現(xiàn)類似的漏洞攻擊。隨著攻擊工具變得越來越復雜，新的攻擊向量不斷出現(xiàn)，攻擊者發(fā)現(xiàn)發(fā)起更大規(guī)模且更有效果的攻擊變得越發(fā)簡單，而且成本更低。

混合解決方案

攻擊規(guī)模不斷擴大的趨勢突出了采用混合或分層防御措施（結(jié)合本地和云端緩解功能）的必要性。常見的攻擊規(guī)模依然相對較小，通常可以采用本地解決方案（虛擬或設備）進行檢測和緩解。但是，既然攻擊者的能力已經(jīng)達到了TB級別，就有必要具備能夠緩解最大規(guī)模攻擊的云端組件。混合解決方案的優(yōu)勢在于云端防御實質(zhì)上可以作為備用（與“常開”相對）措施，并在本地組件檢測到超大規(guī)模攻擊時立即啟用。

在全球威脅情報功能的支持下，DDoS軟硬件解決方案都會更加有效。利用這些數(shù)據(jù)和來自卓越研究團隊的分析，應對已知和新興威脅的措施可以直接融入緩解產(chǎn)品。

多年來，我們從對威脅形勢的分析中獲得了一個重要啟示：新型DDoS攻擊一旦出現(xiàn)就不會再消失。TB規(guī)模的攻擊已經(jīng)出現(xiàn)，而且將一直存在，企業(yè)應該做好準備。N