【51CTO.com 綜合消息】當(dāng)前，大規(guī)模復(fù)雜的、混合的DDoS攻擊愈演愈烈，這對(duì)于網(wǎng)絡(luò)資源的保護(hù)提出了新的挑戰(zhàn)。由于企業(yè)向云計(jì)算模式轉(zhuǎn)移的步伐越來越快，數(shù)據(jù)中心作為大量虛擬數(shù)據(jù)的存儲(chǔ)地，已經(jīng)成為DDoS的重要攻擊目標(biāo)，這種單點(diǎn)攻擊所產(chǎn)生的危害程度遠(yuǎn)遠(yuǎn)大于那些直接受攻擊對(duì)象。

DDoS攻擊移師云計(jì)算

《Arbor第五期全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全年報(bào)》通過對(duì)北美洲、南美洲、歐洲、非洲和亞洲的132家一級(jí)、二級(jí)和其他IP網(wǎng)絡(luò)運(yùn)營商的調(diào)查顯示：互聯(lián)網(wǎng)服務(wù)運(yùn)營商遇到的DDoS攻擊達(dá)到49 Gbps，相對(duì)于2008年只增長(zhǎng)了32%，與2007年相比增長(zhǎng)了100%，是2001年的100倍。DDoS攻擊正在轉(zhuǎn)移至云計(jì)算，攻擊規(guī)模仍在擴(kuò)大，但增速減緩，互聯(lián)網(wǎng)架構(gòu)和運(yùn)營面臨困境。

由于網(wǎng)絡(luò)設(shè)備以及傳統(tǒng)的邊緣安全技術(shù)，例如，防火墻、入侵檢測(cè)系統(tǒng)由于自身不能提供足夠的DDoS保護(hù)。面對(duì)這些不可避免且日益增長(zhǎng)的網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)運(yùn)營商在尋找通過最優(yōu)現(xiàn)行方法（BCP）保護(hù)網(wǎng)絡(luò)不受攻擊的方法。BCP包括網(wǎng)絡(luò)架構(gòu)最優(yōu)方法、主機(jī)最優(yōu)方法和部署DDoS專用的異常檢測(cè)和抵御方案，例如思科Clean Pipes清洗中心解決方案。

與傳統(tǒng)的DDoS防御技術(shù)相比，Clean Pipes解決方案能夠準(zhǔn)確識(shí)別出流向關(guān)鍵任務(wù)主機(jī)及應(yīng)用程序的合法流量和惡意流量。準(zhǔn)確阻擋惡意流量，同時(shí)讓合法流量通過，保證商業(yè)、服務(wù)運(yùn)作正常。

隨著DDoS攻擊的不斷演變，思科Clean Pipes解決方案也在同步迅速發(fā)展。從思科Anomaly Guard Appliance開始的1Gbps抵御容量，到之后的Anomaly Guard Module（AGM）可以達(dá)到每個(gè)模塊3Gbp抵御容量，而多個(gè)AGM 模塊更是可以提供10+ Gbps的防御保護(hù)。

鑒于云計(jì)算網(wǎng)絡(luò)環(huán)境的復(fù)雜性與攻擊變化的多樣性，思科決定停止對(duì)Guard模塊繼續(xù)研發(fā)，轉(zhuǎn)而與長(zhǎng)期合作的互聯(lián)網(wǎng)頂級(jí)流量分析者Arbor公司進(jìn)行合作，通過集成路由與安全技術(shù)實(shí)現(xiàn)異常流量（主要是DDoS）“云”清洗系統(tǒng)，將Clean Pipes解決方案升級(jí)到了2.0版本。在Clean Pipes 2.0中，Arbor Peakflow SP 威脅管理系統(tǒng)（TMS）將成為Guard的升級(jí)方案。

“云”清洗防御DDoS

信息安全知名博客 賽道（www.sectao.net）指出：回顧Anti-DDoS解決方案的發(fā)展過程可以發(fā)現(xiàn)，在2000年時(shí)互聯(lián)網(wǎng)剛剛興起，用戶通常采用DDoS防火墻即可有效抵御攻擊。而在2005年，隨著Web 2.0的蓬勃發(fā)展，托管服務(wù)安全供應(yīng)商（MSSP）成為了那一時(shí)代的最佳解決方案。如今進(jìn)入了云計(jì)算時(shí)代，通過SaaS（安全既服務(wù)）的方式實(shí)現(xiàn)“云”清洗將成為最有效的解決方案。

Arbor和思科的合作從2000年就開始了，早在Clean Pipes 1.0 和 1.5.中，Arbor Peakflow SP產(chǎn)品用于攻擊檢測(cè)。在Clean Pipes 2.0中，Arbor Peakflow SP 將被用于異常流量檢測(cè)，而TMS則用于對(duì)DDoS攻擊流量的手術(shù)式清洗，兩者結(jié)合系統(tǒng)性的實(shí)現(xiàn)“云”清洗。

簡(jiǎn)而言之，在Clean Pipes 2.0中，Arbor Peakflow SP是一個(gè)流量采集器。通過多個(gè)采集器的流量對(duì)比，識(shí)別DDoS攻擊，同時(shí)確定攻擊特性。從技術(shù)角度來看，Arbor Peakflow SP是一種基于Netflow的異常流量檢測(cè)設(shè)備。它從網(wǎng)絡(luò)中的路由交換設(shè)備中獲取Netflow信息，不斷地基于Netflow統(tǒng)計(jì)表建立合法流量基線模板。通過流量與基線模板相比較，任何偏差都會(huì)被作為異常情況被識(shí)別和警報(bào)，從而進(jìn)一步采取防御措施，包括通知網(wǎng)絡(luò)管理人員，或啟動(dòng)攻擊抵御設(shè)備的DDoS保護(hù)功能。

當(dāng)網(wǎng)絡(luò)在正常情況下運(yùn)行時(shí)，Netflow會(huì)產(chǎn)生大量的網(wǎng)絡(luò)流量數(shù)據(jù)分析圖，并建立基線模型，用于流量異常檢測(cè)。當(dāng)遭受到DDoS攻擊時(shí)，Netflow信息統(tǒng)計(jì)表將會(huì)顯示出與基線模型的偏差，這就是受到攻擊的第一個(gè)信號(hào)。通過更多詳細(xì)的流量信息，可以進(jìn)一步分析流量模式和行為。一旦異常流量被識(shí)別，Anti-DDoS“云”清洗系統(tǒng)可以通過自動(dòng)或手動(dòng)的方式啟動(dòng)DDoS防御策略。

當(dāng)Netflow應(yīng)用于Anti-DDoS“云”清洗系統(tǒng)時(shí)，NetFlow常常被部署在SP或者企業(yè)網(wǎng)絡(luò)的邊緣，監(jiān)控邊緣以及對(duì)等接口的帶內(nèi)流量，因?yàn)閷?duì)于大部分攻擊，這些是典型的入口點(diǎn)。路由器會(huì)保留在線NetFlow緩存區(qū)跟蹤當(dāng)下流量。IP流量信息從NetFlow緩沖區(qū)中輸出，然后進(jìn)入外部采集器做進(jìn)一步分析。

圖：DDoS防御已經(jīng)進(jìn)入到第三階段—“云”清洗  

Frost & Sullivan專業(yè)評(píng)論發(fā)文DDoS清洗救援行動(dòng) “DDoS Mitigation to the Rescue” ，文中指出：鑒于Arbor獨(dú)有的運(yùn)營商級(jí)部署與ATLAS威脅可見性的經(jīng)驗(yàn)數(shù)據(jù)積累，思科決定公開推薦Arbor作為Guard清洗中心客戶的升級(jí)解決方案。

第三代基于"云"計(jì)算的清洗中心主要四大特點(diǎn)：

一：智能檢測(cè)分析系統(tǒng)與清洗中心一體化，基于運(yùn)營商級(jí)的全網(wǎng)監(jiān)控系統(tǒng)統(tǒng)一控制流量的流向并決定清洗行動(dòng)。提高了預(yù)見性與準(zhǔn)確性。

二："云"清洗系統(tǒng)針對(duì)應(yīng)用層的攻擊防護(hù)具有特別設(shè)計(jì)包括（DNS， HTTP， SIP 等），并率先支持下一代IPv6的網(wǎng)絡(luò)環(huán)境。

三："云"清洗系統(tǒng)具有異常流量的溯源能力并結(jié)合ATLAS威脅數(shù)據(jù)庫與指紋機(jī)制實(shí)時(shí)防范最新攻擊，包括零日Zero-day攻擊；

四："云"清洗系統(tǒng)針對(duì)被保護(hù)對(duì)象的自服務(wù)門戶功能為運(yùn)營商大范圍提供異常流量清洗服務(wù)提供了基礎(chǔ)，改善了購買DDoS服務(wù)的用戶體驗(yàn)。