预防遭受DDoS威胁

金大刚

当前DDoS攻击层出不穷，它虽然是网络空间中一种最为简单粗暴的攻击方式，但却让全球大型服务提供商谈虎色变。

当前DDOS攻击层出不穷，它虽然是网络空间中一种最为简单粗暴的攻击方式，但却让全球大型服务提供商谈虎色变。为企业应对未来威胁，助力行业发展，特此列举几个2016年全年中最为严重的DDoS攻击事件以供参考分析。

首先是暴雪受DDoS攻击事件。2016年4月，Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击，包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机，玩家无法登录。

名为“Poodle Corp”的黑客组织也曾针对暴雪发起多次DDoS攻击，三起事件在8月，还有一起攻击事件在9月。攻击不仅导致战网服务器离线，平台多款游戏均受到影响，包括《守望先锋》、《魔兽世界》、《暗黑3》以及《炉石传说》等，甚至连接主机平台的玩家也遇到了登录困难的问题。

紧接着是Mirai僵尸网络攻击Krebson Security事件。2016年9月20日，安全研究机构KrebsonSecurity遭遇Mirai攻击，当时被认为是有史以来最大的一次网络攻击之一。然而没过多久，法国主机服务供应商OVH也遭到了两次攻击，罪魁祸首同为Mirai。KrebsonSecurity被攻击时流量达到了665GB，而OVH被攻击时总流量则超过了1TB。

Mirai是一个十万数量级别的僵尸网络，由互联网上的物联网设备（网络摄像头等）构 成，8月开始构建，9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统，将其纳入到Botnet中，在需要的时候执行各种恶意操作，包括发起DDoS攻击，对互联网造成巨大的威胁。而在美国的互联网环境中造成了巨大影响。

2016年10月21日，提供動态DNS服务的Dyn DNS遭到了大规模DDoS攻击，攻击主要影响其位于美国东区的服务。此次攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中包括GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud、Spotify和Shopify。攻击导致这些网站一度瘫痪，Twitter甚至出现了近24小时无法访问的局面。

而我国的DDoS攻击事件虽没有上述事件那么引人注目，但实际上多家机构也遭受到类似的影响。国内不少历来对DDoS攻击事件采取保守保密处理，并不对外大力宣扬，基本上都倾向于持极力“封锁消息”态度据业内人士爆料，从2009年著名的“7·18”事件—上海出租车牌照拍卖系统遭受DDoS攻击，到中越网络大战，以及南方几个电信大省DNS系统被DDoS攻击严重干扰，国人对于DDoS攻击谈虎色变。

近年来，即便都在加强对DDoS防御的投入，但国内一些大型著名的金融机构也受到DDoS攻击的伤害，虽然在行业内的攻防演习每年都搞，还是出现过南方某知名交易所网站被模拟演习攻击，双“11”某银行信用卡交易系统瘫痪几个小时，银联下属某机构遭受 https类型的DDoS攻击，等等。

就在今年年中，多家证券公司及互联网金融公司又遭受“无敌舰队”组织发起的DDoS攻击勒索，这是继“永恒之蓝”勒索蠕虫攻击事件刚刚平息之后的国内又一起著名的攻击事件。这种巨量DDoS攻击对目前主流的抗DDoS攻击方式提出了严峻的挑战。

据Arbor全球威胁情报系统ATLAS统计，“无敌舰队”攻击时，企业官网被大量的DDoS攻击流量堵塞导致网站无法访问，攻击流量基本在1Gbps～60Gbps不等，攻击时间在20分钟到1个小时左右。勒索者会给企业发送邮件并要求支付10个比特币（当时市值大约18万人民币），如果企业未在规定时间内支付比特币，将增加勒索比特币的额度要求，并将DDoS攻击流量增加到最大1Tbps。

受DDoS攻击影响所及，市场上蕴含 DDoS防御功能的安全设备，一时之间成为抢手货，产品需求瞬间激增。

回顾近年来的DDoS风暴，却有诸多值得深思之处，而过程中遗留的威胁线索，更加让人怵目惊心。

过往的DDoS事件，仅出现流量攻击单一形态，黑客借由大量封包塞爆客户端的最后一公里（Last Mile）与电信骨干，纵然来势凶猛，但一般安全管理者对它较为熟悉，若干专业底蕴较深的人士，也比较懂得防治之道；然而此次DDoS事件有所不同，在流量攻击（Volumetric Attack）之外，惊见针对安全设备的状态耗尽攻击（State Exhaustion Attack）、网页服务的应用层攻击（Application Attack）等先前少见的型态，尤其状态耗尽攻击现身的频率，更堪称三种形态之冠。

DDoS 趋势出现变化更加令人猝不及防

随着攻击形态演变，再搭配这波DDoS事件显露的其他征兆，即可据以分析今后DDoS攻击趋势。

趋势之一是“攻击量不断攀升”，早年黑客动用数十Mbps、甚至1Gbps攻击流量，便能发挥强大杀伤力，但现今用户防御实力升级，黑客也顺势加码，因而在2013年创造史上最大300Gbps攻击流量，2014年更上层楼达到500Gbps，未来再破记录的概率不低。

趋势之二是“攻击复杂度愈来愈高”，如前所述，黑客首次利用单一事件混搭多种攻击形态，例如先发动状态耗尽攻击，接着发动流量攻击，总之不管排列组合如何变化，都足以营造猝不及防之威胁性。

趋势之三则是“攻击频率增加”。以往一年若出现2～3次DDoS攻击，便颇具威胁效果，但如今可能一季时间，就发生高于过去一年总量的攻击事件，特别是银行，从前从未被DDoS攻击者染指，但从2017年第二季度开始，发生于该产业的攻击事件却层出不穷，甚至出现一家家轮流挨打的场景，教人直觉事态不妙。endprint

研究机构所见略同一致提倡多层次防御，面对急速升高的DDoS威胁，企业或机构如何应对？

来自全球各大权威性研究机构的专业建议，其实已点亮指路明灯，因为不管是 Gartner、IDC、Frost & Sullivan、Ovum还是Infonetics，皆不约而同倡议“Layered DDoS Attack Protection”概念，即借由多层次防御手段，达到阻挡DDoS攻击的效果。

细究各大研究机构的见解，可归纳出多层次防御机制理应包含的两个关键组件，其一是驻地端防护设备，另一则是云端清洗服务，二者都很重要且缺一不可。

不少厂商打着防御DDoS的旗号，推出琳琅满目的解决方案，归纳它们处理DDoS攻击流量的手段，大致不脱几个主要“门派”。

第一是内容传递网络（CDN）。许多企业或机构对外提供联机服务的主要门户，无非就是网站，所以有部分用户认为，只要把与端口80或443相关的Web服务置于第三方CDN平台，平时CDN服务供货商会透过Proxy协助响应外来请求，确保联机服务运作如昔，而在遭受DDoS 攻击时，CDN服务商将出手救援，巧妙利用”转进”方式，让用户的Web服务转换跑道至正常主机运行，维持服务不中断。

第二是提供流量清洗服务的区域型电信运营商，标榜就近解决大流量攻击威胁。第三 门派是国际流量清洗中心，因为具备世界级规模，所以能够应付的攻击流量，自然远大过区域型电信运营商。

最后一种门派，是防火墙、入侵防御系统（IPS）、网页应用程序防火墙（WAF）或广域网负载均衡器（WANLinkLoadBalancer）等设备供货商，纷纷利用既有产品基础，增添DDoS防护的附加功能。看来防御实力各擅所长、百家争鸣，令人眼花缭乱。

各大DDoS防护门派全都潜藏先天弱点

只不过，上述各门派都有滞碍难解的弱点，换言之，企业或机构若一味倚赖这些产品或服务，恐将徒留防御缝隙，让黑客有机可乘。

针对CDN，算是蕴藏最多“迷思”的一环。理由之一，运用转进方式闪避DDoS侵袭，对于静态网页极具保护功效，但对于需要与后台实时联机撮合的动态网页，则相对不适用；因为 CDN与后台主机的联机信道中，会充斥大量对话（Session），尽管大多是正常的交易请求，但也不乏恶意流量鱼目混珠，此时谁能挡得下这些恶意流量？

答案是没有！理由之二，只要是金融联机服务，都涉及SSL加解密，所以欲将服务交付予第三方CDN平台执行，必须一并递交私钥，明显有违金融法规，因此对于金融机构，CDN这条路行不通。理由之三，CDN业者仅能协助提供HTTP或HTTPS等相关服务，但企业的关键应用，绝不仅止于这些类型，一旦跳脱HTTP或HTTPS，CDN业者便爱莫能助；而现今越来越多黑客，都锁定目标对象的真实IP发动攻击，并非凭借DNS，如此黑客即可直接攻进企业家门。由此可见，不论非属HTTP（S）服务或遭黑客锁定真实IP，都让CDN业者鞭长莫及，所以只要被打，幸存机会就不大。

至于区域性电信运营商，由于无法主动侦测应用层攻击或状态耗损攻击，再加上即使勉可强过滤攻击流量，但因容量有限，只要容量用尽便无法执行清洗，恐导致后续正常封包，也将被丢弃在“黑洞”之中。

而国际流量清洗中心皆利用海外机房执行清洗任务，迫使用户必须绕一大段路才能接受过滤服务，难免造成延迟（Latency），损及服务质量；且由于国际流量清洗服务多建构在“OnDemand”基础，而非“AlwaysOn”性质，所以用户把流量导向清洗中心的过程，需历经通报时间、路由收敛时间，及清洗中心启动过滤的时间，合计形成约0.5～1个小时空窗期，迫使用户必须中断服务。

谈到防火墙或IPS等设备商提供的附加防御功能，则清一色陷入相同弱点，即是背负“最大连接数限制”这个先天宿命，所以黑客只要针对此弱点穷追猛打，仅需1～2分钟，便可能瘫痪设备功能，使DDoS防护功能消失不见。

善用驻地“滤水器“”发挥预防疾病妙效

看到这里，不免让人忧心，多种防御机制都出了问题，看似没有任何一项可提供完整保护，该如何是好？

用户必须承认，仅靠单一方案不足以解决问题，所以必须借重多层次防御架构，至于个中关键组件的甄选标准，实有必要跳脱绝大多数安全方案（包含上述提及所有产品或服务）所聚焦的“治疗”，转而思考如何借由适当组件的组合运用，及早发挥“预防”效果，毕竟预防重于治疗，是不变的真理。

若以风灾过后的水质问题作为比喻，解决问题之道，即是先在家中装设滤水器，滤除杂质、重金属等有害人体健康的污染物，减少患疾病的概率，但如果无法单靠滤水器有效过滤，便需进入第二层防护机制，委托自来水厂从源头进行过滤。滤水器与自来水厂，其关系好比驻地端防护设备、云端清洗服务。

以DDoS防御方案世界领导厂商ArborNetworks为例，屡次见证用户陷入相同迷思，一般客户认为只要接受云端清洗，便可滤除有害流量，怎料一经架设Arbor的PravailAvailability ProtectionSystem（以下简称APS）设备，仍可从云端清洗过后的“干净”流量，滤出攻击封包，其余约莫1%～3%看似微小流量，更潜藏了夹带PortScan或HostScan等任务的“探子马”，不断刺探目标对象的漏洞，借以描绘日后攻击脚本，危害性甚至高于SYNFlood，而这些“污染物”，都被Arbor设备实时拦阻。

在此前提下，不论如同SYNFlood具有立即侵害性的病菌，或是伺机在人体器官潜伏扩散的有毒探子马，都无法造成显著危害，所以对用户而言，便可靠着此一“预防”机制，让大事化小、小事变无，不会任令小感冒演變成重感冒、肺炎甚至肺癌。

如果尝试入侵的菌种数量过多，超越驻地设备的过滤容量，此时才动用“健保”机制，意即结合后端ArborCloud云端清洗服务，获取必要的医疗资源，借由中央过滤而拦阻这些有害物质。endprint

有效的多层次防御应具备六大特征

综上所述，面对DDoS攻击，有效的多层次防御机制，理当具备六大特征。

第一，驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击，包括流量攻击、状态耗尽攻击与应用层攻击。

第二，驻地端防护设备只要侦测到攻击流量，皆可立即阻档。

第三，如同前述Arbor设备的实例，必须自动挡下探子马，借此推迟黑客刺探军情的频率，以绝后患。

第四，为了避免出现如同防火墙等设备附加功能的弱点，因此用户务必慎选“无状态表”架构（Stateless Architecture）的防护设备，以免让黑客耗尽连接数量上限而攻击得逞 APS即是典型例子。

第五，用户宜跳脱设备规格的军事竞赛思维，不需过度计较其吞吐流量多大、操作界面多强，而应关注其是否深具智慧，智慧的高低，取决于设备原厂是否有能力搜集大量资料，借由云端大数据分析萃取攻击样本，继而以最快速度产生攻击特征码，终至回馈到前端设备；同样以Arbor为例，它拥有全球95%一线电信运营商客户，通过全世界300多电信运营商合作关系，Arbor的研究中心可以实时接收这些电信运营商提供的样本流量信息，因此Arbor掌握了全球逾四成因特网实时流量信息，拥有最大机会，比竞争对手更快察觉新型攻击样态，从而实时建立指纹知识库（Signature Database），协助用户得以及时侦测并阻档顽强的恶意攻击。

第六，顾名思义，多层次防御理应蕴含一个以上层次，也就是不宜仅靠驻地设备独挑大梁，当APS遭遇难以自力排除的粗鲁的攻击流量，便应在第一时间自动向云端清洗中心主动发送求救讯号，便于远程流量清洗中心缩短执行路由收敛等前置暖身程序，便可及时展开流量过滤；而Arbor Cloud与APS之间，即具備这般紧密互动关系，此外环顾各大云端清洗中心，也仰赖Arbor设备执行过滤任务，相形之下，Arbor彷佛驾驭自己建造的车，更懂得如何让运作效能发挥到淋漓尽致。

不可否认，多数用户都倾向采用便宜产品，或是仅想解决当下危难，秉承“头痛医头、脚痛医脚”原则而采用片段式解决方案，未能通盘思索DDoS防护之道，以致让防御城墙徒留诸多破口。专家建议，欲求有效对抗DDoS，需事先拟妥完整DDoS防护政策，即使无法一步到位，亦可依循既定政策分阶段布建防御工事，切忌只贪图便宜。endprint