僵尸網(wǎng)絡(luò)是一種由引擎驅(qū)動的惡意因特網(wǎng)行為：DDoS 攻擊是利用服務(wù)請求來耗盡被攻擊網(wǎng)絡(luò)的系 統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。 DDoS 攻擊有多種形式，但是能看到的最 典型的就是流量溢出，它可以消耗大量的帶寬，卻不消耗應(yīng)用程序資源。DDoS 攻擊并不是新鮮事 物。在過去十年中，隨著僵尸網(wǎng)絡(luò)的興起，它得到了迅速的壯大和普遍的應(yīng)用。僵尸網(wǎng)絡(luò)為 DDoS 攻擊提供了所需的"火力"- 帶寬和計算機 - 以及管理攻擊所需的基礎(chǔ)架構(gòu)。

DDoS規(guī)模、程度和復雜性都有新發(fā)展：2003 年，由 Arbor Networks 客戶發(fā)現(xiàn)的規(guī)模最大的持續(xù) DDoS 攻擊為 2.5 Gbps。到了 2007 年，最大的持續(xù)攻擊之規(guī)模已經(jīng)超過 40 Gbps。讓服務(wù)商感到 更為棘手的是現(xiàn)在出現(xiàn)了一個新的情況，那就是常見的中等規(guī)模的"業(yè)余"攻擊和使用成千萬僵尸 主機（zombie）進行的多 GB"專業(yè)"攻擊之間的差別正在逐步擴大。

Arbor Networks 研究能力：Arbor Networks 在服務(wù)商的安全領(lǐng)域內(nèi)發(fā)揮著主導作用，全球 90% 的一級服務(wù)商和 60% 的二級服務(wù)商都是它的客戶。Arbor 充分利用這些關(guān)系，創(chuàng)建了可以同時進 行數(shù)據(jù)收集和分析的平臺，并提供了在全球服務(wù)商之間共享這些信息的方法。Arbor 與其全球服務(wù) 商客戶群合作，從 100 多家服務(wù)商那里實時收集因特網(wǎng)攻擊數(shù)據(jù)，并與另外 30 多家服務(wù)商實時共 享全球路由信息。此外，Arbor 還創(chuàng)建了世界上最大的分布式"暗網(wǎng)"監(jiān)測系統(tǒng)，可以對全球可路 由的 IP 地址進行監(jiān)控。這些可路由的 IP 地址上不應(yīng)該有任何活動的主機。Arbor Peakflow 和暗網(wǎng) 檢測系統(tǒng)聯(lián)合收集的數(shù)據(jù)表明，只有 Arbor 才能"真正地"對構(gòu)成互聯(lián)網(wǎng)核心部分的骨干網(wǎng)內(nèi)所傳 輸?shù)膼阂鈹?shù)據(jù)獲得全面的了解。由于這樣獨特的優(yōu)勢，Arbor 在發(fā)布有關(guān)惡意軟件、后門、網(wǎng)上釣 魚和僵尸網(wǎng)絡(luò)信息方面比起當今任何其他機構(gòu)都更加領(lǐng)先。

威脅減除策略：為了減少大規(guī)模 DDoS 攻擊帶來的附帶損害，服務(wù)商常常會阻斷前往受攻站點的 所有流量，以籍此阻斷 DDoS 攻擊。使用集成的威脅管理系統(tǒng)（TMS）設(shè)備，Arbor Networks 客 戶可以僅阻斷攻擊流量，從而保持可用的服務(wù)和較高的客戶滿意度。Peakflow SP TMS 使服務(wù)商 能夠在不中斷合法流量的情況下識別和阻斷網(wǎng)絡(luò)和應(yīng)用層攻擊。Peakflow SP TMS 能夠提供具有 高成本效益的網(wǎng)絡(luò)和應(yīng)用層威脅檢測、減除和報告功能，從而使服務(wù)商可以維護關(guān)鍵 IP 業(yè)務(wù)。最 后，請求其他服務(wù)商幫助過濾流量也是非常必要的，因為當攻擊規(guī)模達到每秒數(shù)十 GB 時，任何服 務(wù)商都無法在處理這種攻擊流量的同時還能維持正常的流量。這正是 Arbor Networks 能夠在保護 服務(wù)商的網(wǎng)絡(luò)中發(fā)揮重要作用的地方。

網(wǎng)絡(luò)戰(zhàn)正走向錯誤的方向：最近幾年，具有政治動機的網(wǎng)絡(luò)攻擊制造了不少新聞并成為人們關(guān)注的 焦點。從 2007 年對愛沙尼亞的攻擊到最近由于俄羅斯采取軍事行動而引發(fā)的對格魯吉亞基礎(chǔ)設(shè)施 和網(wǎng)絡(luò)的攻擊，都表明了這一點。Arbor Networks 研究發(fā)現(xiàn)，此類具有政治動機的攻擊都不是國家 支持的行為。Arbor Networks 認為，這些攻擊是 21 世紀街頭示威的一種形式，是那些對某項事業(yè) 產(chǎn)生同情的人制造的網(wǎng)絡(luò)中斷，并非行政行為。

概述

DDoS 攻擊是利用服務(wù)請求來耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的 請求。DDoS 攻擊有多種形式，能看到的最典型的就是流量溢出，它可以消耗大量的帶寬，卻不消 耗應(yīng)用程序資源。DDoS 攻擊并不是什么新鮮事物。在過去十年中，隨著僵尸網(wǎng)絡(luò)的興起，它得到 了迅速的壯大和普遍的應(yīng)用。僵尸網(wǎng)絡(luò)為 DDoS 攻擊提供了所需的"火力"- 帶寬和計算機 - 以 及管理攻擊所需的基礎(chǔ)架構(gòu)。大部分機器代碼庫都可以提供某種形式的 DDoS 能力。2006 年，我 們檢測發(fā)現(xiàn)，在我們所監(jiān)控的僵尸網(wǎng)絡(luò)中，大約一半網(wǎng)絡(luò)都曾經(jīng)發(fā)起過至少一次 DDoS 攻擊。

其中一部分 DDoS 攻擊似乎具有政治動機，被攻擊者都是被認為對攻擊者一方的某些人犯下了錯 誤的對象。去年，愛沙尼亞政府和國家基礎(chǔ)設(shè)施就受到了長達幾個星期的 DDoS 攻擊。這些攻擊 正好發(fā)生在愛沙尼亞發(fā)生反對俄羅斯的街頭示威期間。同樣的情況也發(fā)生在最近俄羅斯和格魯吉亞 發(fā)生的網(wǎng)絡(luò)戰(zhàn)中。在這些案例中，我們發(fā)現(xiàn)，大部分的 DDoS 攻擊背后都有僵尸網(wǎng)絡(luò)的支持和人 工在協(xié)調(diào)，某些組織的俄語論壇就對這些攻擊進行了支持。但是，我們從未發(fā)現(xiàn)有任何證據(jù)證明所 謂俄羅斯政府部門對這些攻擊進行支持的說法。

我們最近看到的其他具有政治動機的 DDoS 攻擊包括在 2008 年冬季選舉前奏中針對俄羅斯政治家 Gary Kasparov 及其政黨的攻擊。在這起攻擊事件中，網(wǎng)站被迫短暫關(guān)閉，使其用戶無法使用。然 而，這樣做好像并不能對政黨本身產(chǎn)生任何損害，也就是說，這些攻擊更像是暴亂和示威，而不是 搶劫和掠奪。

政治性的 DDoS 事件不只是針對俄羅斯和歐洲的網(wǎng)絡(luò)。我們監(jiān)控的大部分攻擊來自美國，而且大 部分攻擊對象也是美國。從美國具有大量的地址空間來看，這也是合理的。過去，我們發(fā)現(xiàn)過與印 度和巴基斯坦沖突有關(guān)的 DDoS 攻擊，而最近,我們也發(fā)現(xiàn)過針對伊朗某些目標的 DDoS 攻擊。

事實上，我們認為最近的政治性 DDoS 攻擊是 21 世紀街頭示威的一種形式，是那些對某項事業(yè)產(chǎn) 生同情的人制造的網(wǎng)絡(luò)中斷，并非行政行為。

僵尸網(wǎng)絡(luò)和 DDoS 攻擊的這些新情況對網(wǎng)絡(luò)服務(wù)商會產(chǎn)生各種實質(zhì)性的后果。#p#

Arbor Networks 是如何獲取數(shù)據(jù)的

我們使用兩種方法來監(jiān)控 DDoS 攻擊。第一種方法是利用我們的 ATLAS（Arbor 威脅級別分析系 統(tǒng)）系統(tǒng)，該系統(tǒng)可以檢測骨干網(wǎng)流量，將全球 DDoS 統(tǒng)計數(shù)據(jù)聚合在一起。

ATLAS 的創(chuàng)新之處在于,它能夠使用一個可以提供分析和行動信息的平臺將全球因特網(wǎng)攻擊信息匯 聚起來。然后，ATLAS 再使全球各服務(wù)商共享這些信息。只有借助于這種全面的透視能力、信息 和協(xié)作，服務(wù)商才能打擊僵尸網(wǎng)絡(luò)、DDoS 攻擊和其他惡意因特網(wǎng)行為帶來的災(zāi)難。

Arbor Networks 在服務(wù)商的安全領(lǐng)域內(nèi)發(fā)揮著主導作用，全球 90% 的一級服務(wù)商和 60% 的二級 服務(wù)商都是它的客戶。Arbor 充分利用這些關(guān)系，創(chuàng)建了可以同時進行數(shù)據(jù)收集和分析的平臺，并 提供了在全球服務(wù)商之間共享這些信息的方法。

Arbor 與其全球服務(wù)商客戶群進行合作，從 100 多家服務(wù)商那里實時收集因特網(wǎng)攻擊數(shù)據(jù)，并與另 外 30 多家服務(wù)商實時共享全球路由信息。此外，Arbor 還創(chuàng)建了世界上最大的分布式"暗網(wǎng)"監(jiān) 測系統(tǒng)，可以對全球可路由的 IP 地址進行監(jiān)控。這些可路由的 IP 地址上不應(yīng)該有任何活動的主機。

Arbor Peakflow 和暗網(wǎng)檢測系統(tǒng)聯(lián)合收集的數(shù)據(jù)表明，只有 Arbor 才能"真正地"對構(gòu)成互聯(lián)網(wǎng)核 心部分的骨干網(wǎng)內(nèi)所傳輸?shù)膼阂鈹?shù)據(jù)獲得全面的了解。由于這樣獨特的優(yōu)勢，Arbor 在發(fā)布有關(guān)惡 意軟件、后門、網(wǎng)上釣魚和僵尸網(wǎng)絡(luò)信息方面比起當今任何其他機構(gòu)都更加領(lǐng)先。

我們收集數(shù)據(jù)的第二種方法是通過對僵尸網(wǎng)絡(luò)進行主動監(jiān)控、對發(fā)送到僵尸程序的命令進行監(jiān)測， 并從中提取攻擊信息。雖然這兩種方法都不完整，但都是廣泛了解 DDoS 行為不可或缺的手段。 從監(jiān)測中我們還發(fā)現(xiàn)，這兩種方法可以阻斷某些攻擊的連接，也就是說我們將永遠無法跟蹤觀察因 特網(wǎng)上的所有 DDoS 攻擊命令。

對 DDoS 攻擊意圖的估計通常是推測性的，而且往往是根據(jù)受攻擊對象的外部資料來進行。DDoS 攻擊的動機往往是對受攻擊者的某些行為的報復或憤怒，有時還包括勒索或懲罰性攻擊。過去幾 年，我們對全球成千上萬種此類攻擊進行了跟蹤，發(fā)現(xiàn)任何網(wǎng)絡(luò)都無法免受來自"業(yè)務(wù)端"的這種 攻擊。垃圾信息發(fā)送者或在線網(wǎng)絡(luò)釣魚團隊可能會對研究人員發(fā)起攻擊，以阻止他們的工作。但是 我們更常見的是針對寬帶用戶或小型電子商務(wù)網(wǎng)站發(fā)起的各種小規(guī)模攻擊。更大規(guī)模和更復雜的攻 擊往往會涉及到對主要在線商業(yè)機構(gòu)的某種勒索。某些攻擊已導致商業(yè)機構(gòu)破產(chǎn)，因為后者無法處 理其客戶需求或支付帶寬費用。當然，最近我們還看到，具有政治動機的攻擊有很大增加。

僵尸網(wǎng)絡(luò)對服務(wù)商網(wǎng)絡(luò)的影響

作為我們的《全球構(gòu)架安全報告》的一部分，Arbor Networks 每年都要對其全球客戶群進行調(diào)查。 調(diào)查結(jié)果清楚表明，僵尸網(wǎng)絡(luò)及其在 DDoS 攻擊中作為引擎使用是當今因特網(wǎng)服務(wù)商（ISP）網(wǎng)絡(luò) 面臨的一個最大的威脅。

DDoS 攻擊越來越專業(yè)化：雖然自 2000 年以來，中等規(guī)模的 DDoS 攻擊一直困擾著互聯(lián)網(wǎng)，但是 根據(jù)調(diào)查反饋者的報告，普通中等規(guī)模的"業(yè)余"攻擊和使用成千萬僵尸主機（zombie）進行的多GB"專業(yè)"攻擊之間的差別正在逐步擴大。接受調(diào)查的大部分服務(wù)商都報告說，僵尸軍團的攻 擊無論在復雜性還是在協(xié)調(diào)性上都有了很大發(fā)展。

攻擊發(fā)展速度超過 ISP 網(wǎng)絡(luò)發(fā)展速度：過去幾年，大部分一級和二級服務(wù)商都已完成了對骨干網(wǎng) 絡(luò)基礎(chǔ)構(gòu)架的大量投資 - 把鏈路從 OC12/48（2 Gbps）升級到 OC192（10 Gbps）。但是，接 受調(diào)查的服務(wù)提供商報告說，曾經(jīng)遇到超過 24 Gbps 的持續(xù)攻擊速率，此數(shù)字超過最近升級的鏈 路容量的兩倍。

我們很快將會發(fā)布 2008 年的調(diào)查結(jié)果，今天我想與各位分享一個數(shù)據(jù)。在今年的報告中，有好幾 家服務(wù)商報告說，他們曾經(jīng)遭受超過 40 Gbps 的持續(xù) DDoS 攻擊?？傊珼DoS 攻擊在繼續(xù)變得 越來越復雜，規(guī)模也變得越來越大。#p#

缺少執(zhí)法助長網(wǎng)絡(luò)攻擊：如果您在街上示威，就有可能真正觸犯法律。但是如果您在因特網(wǎng)上進行 示威，觸犯法律的機率會變得很小，法律對您會很有利。

在我們的報告中，幾乎沒有服務(wù)商會向執(zhí)法機構(gòu)舉報這些攻擊。不進行舉報的原因很多。其中指出 的一些原因包括：

◆客戶隱私/要求

◆缺乏取證分析的詳細信息

◆攻擊太多無暇應(yīng)對

◆對報告是否有用心存疑慮

全世界大多數(shù)國家的執(zhí)法都是努力制止街頭犯罪，卻不管網(wǎng)絡(luò)犯罪，這是一個事實。那些干壞事的 人很清楚這一點，所以他們不斷地把他們的行為轉(zhuǎn)向因特網(wǎng)所代表的安全空間。

DDoS減除策略

DDoS 攻擊永遠無法被阻斷，這是由因特網(wǎng)的性質(zhì)所決定的。即使沒有僵尸網(wǎng)絡(luò)和各種復雜的工 具，任何人都可以鼓勵其他人去訪問某一網(wǎng)站，從而有效地發(fā)生請求溢出，破壞網(wǎng)站的穩(wěn)定性。我 們無數(shù)次看到過使用"點杠效應(yīng)（Slashdot effect）"進行攻擊的例子。同樣是在愛沙尼亞和韓 國，就發(fā)生過煩躁民眾向攻擊對象發(fā)送大量請求，導致服務(wù)被迫中斷的情況。然而，我們可以對攻 擊進行管理，對基礎(chǔ)構(gòu)架的配置進行更改，避免其在此類攻擊中被濫用。

就象 20 世紀 90 年代采取的協(xié)同行動，通過更改默認的路由器設(shè)置來阻斷"Smurf"攻擊一樣，開 放的遞歸式 DNS 服務(wù)器會對因特網(wǎng)的基礎(chǔ)構(gòu)架造成威脅，因為它們可以用來進行 DNS 放大攻擊。 發(fā)現(xiàn)并配置好這些設(shè)施是一個重大的挑戰(zhàn)。在這方面幾乎還沒有取得任何進展。

如果流量發(fā)生明顯的變化，則可以在入侵點對其進行大規(guī)模的攔截，這樣對正常流量的中斷最??； 例如，在上游路由器處對所有 ICMP 回顯請求進行過濾可以阻斷 Ping 泛洪攻擊。即使攻擊者向被 攻擊對象發(fā)送隨機數(shù)據(jù)包，具有這種特征的"異常"流量也能夠被安全攔截，從而減少帶寬的使用。

除非端點能夠?qū)?Akamai 等大型分布式主機的基礎(chǔ)構(gòu)架進行訪問，否則很難在 DNS 層面上采取行 動來挫敗 DDoS 攻擊。為此，它們可以把攻擊流量分散到多個高度互連的節(jié)點上，從而針對攻擊 者筑起一道防護欄。除非把 DNS 條目完全下載到本地，否則 DNS 條目的短存活時間（TTL）值對 挫敗攻擊并沒有幫助，因為攻擊者總可以利用被攻擊對象的 IP 地址作為目標。

對付大型 DDoS 攻擊最成功的策略是采用多向量方法。如果可以識別泛洪源 IP 地址，則可以在源 地址端把它們關(guān)閉，或者如果無法聯(lián)系服務(wù)商，則可以使用路由方法在通向網(wǎng)絡(luò)途中阻斷其流量（通過在路由器上執(zhí)行"單播反向路徑轉(zhuǎn)發(fā)"[Unicast Reverse Path Forwarding] 來實現(xiàn)）。根據(jù) 攻擊的不同類型，也可以采用 SYN 代理等其他防護技術(shù)。此外，還可以使用高速線路過濾設(shè)備來 中斷額外流量或?qū)⑵湟?guī)?？s小到可接受的水平。

Arbor Networks 應(yīng)用智能和威脅減除

使用 10 Gbps Arbor Peakflow SP 威脅管理系統(tǒng)（TMS）設(shè)備的 Peakflow SP 是第一個能夠廣泛 集成網(wǎng)絡(luò)級智能和運營商級威脅管理的平臺。Arbor Peakflow SP TMS 是一種針對多服務(wù)融合式網(wǎng) 絡(luò)的應(yīng)用智能設(shè)備。它可以增強全網(wǎng)事態(tài)感知能力，并通過將高水平的威脅識別能力與數(shù)據(jù)包級分 析相結(jié)合，可更為迅速地采取措施。它可以補充和完善 Peakflow SP 的其它清洗技術(shù)，包括指紋 共享、邊界網(wǎng)關(guān)協(xié)議（BGP）黑洞路由選擇、BGP 流規(guī)范和對第三方產(chǎn)品的支持。

為了減少大規(guī)模 DDoS 攻擊帶來的附帶損害，服務(wù)商常常會阻斷前往受攻站點的所有流量，以籍 此阻斷 DDoS 攻擊。使用集成 TMS 設(shè)備，Arbor Networks 可以僅阻斷攻擊流量，從而保持可用的 服務(wù)和較高的客戶滿意度。Peakflow SP TMS 使服務(wù)商能夠在不中斷合法流量的情況下識別和阻 斷網(wǎng)絡(luò)和應(yīng)用層攻擊。Peakflow SP TMS 能夠提供具有高成本效益的網(wǎng)絡(luò)和應(yīng)用層威脅檢測、減 除和報告功能，從而使服務(wù)商可以維護關(guān)鍵 IP 業(yè)務(wù)。

Arbor 的領(lǐng)導作用促進服務(wù)商之間的交流

大規(guī)模的 DDoS 攻擊不僅會影響既定的受攻擊對象，而且會影響到可能正在使用同一共享網(wǎng)絡(luò)服 務(wù)的其他用戶。Arbor Networks 在建立"指紋共享聯(lián)盟"等自動進程上發(fā)揮了重要作用。"指紋共 享聯(lián)盟"是跨公司、大陸和海洋的一個打擊網(wǎng)絡(luò)攻擊活動的全球電信公司聯(lián)盟。Arbor Networks 向 Peakflow SP 添加了指紋共享功能，允許各公司在不泄露任何競爭性信息的情況下自動共享攻擊指 紋。

Peakflow SP 通過從網(wǎng)絡(luò)中的設(shè)備收集數(shù)據(jù)來完成這一功能，然后把數(shù)據(jù)相互關(guān)聯(lián)起來，以利于服 務(wù)商為網(wǎng)絡(luò)創(chuàng)建基線和檢測異常偏差，并把偏差標記為異常。隨后，系統(tǒng)將決定異常情況是合法的 瞬時擁塞（例如在線事件發(fā)生期間）還是惡意攻擊。網(wǎng)絡(luò)管理員隨即決定是否對其進行減除或保 留。

如果確認是惡意攻擊，Peakflow SP 就會產(chǎn)生指紋，服務(wù)商可以通過選擇對等體自動安全地對其進 行共享。網(wǎng)絡(luò)管理員可以完全控制誰能夠接收共享指紋，且網(wǎng)絡(luò)無需相鄰。指紋接收者在接收到發(fā) 送過來的指紋時，可以選擇接受或拒絕共享請求。

結(jié)論

近年來，僵尸網(wǎng)絡(luò)已成為推動惡意因特網(wǎng)行為發(fā)展的主要動力。僵尸網(wǎng)絡(luò)已變得越來越復雜，規(guī)模 也變得越來越大。同時，它們已被應(yīng)用于垃圾郵件、網(wǎng)絡(luò)釣魚和 ID 竊取等不斷擴大的各種方法 中。最近，僵尸網(wǎng)絡(luò)還被用于發(fā)起 DDoS 攻擊，成為政治示威的一種形式。雖然，我們還沒有看 到國家支持的網(wǎng)絡(luò)攻擊，但是大多數(shù)政府認為兩個政府之間的此類因特網(wǎng)沖突是不可避免的。

鑒于此，解決僵尸網(wǎng)絡(luò)問題是服務(wù)商面臨的第一安全要務(wù)。 無論是通過"指紋共享聯(lián)盟"內(nèi)的創(chuàng)新和協(xié)作，還是通過我們對 ATLAS 的研究能力及我們的安全

專家團隊，Arbor Networks 都將繼續(xù)發(fā)揮關(guān)鍵作用，幫助服務(wù)商確保其網(wǎng)絡(luò)的安全性、可用性和盈利性。

【編輯推薦】

1. 云安全服務(wù)：WAF和DDoS攻擊預防
2. 卡巴斯基：僵尸網(wǎng)絡(luò)每日廣告贏利2000美元
3. 僵尸網(wǎng)絡(luò)的清除：檢測僵尸網(wǎng)絡(luò)感染并防止其再次滲透
4. 僵尸網(wǎng)絡(luò)被粉碎 尋找背后故事