僵尸網(wǎng)絡(luò)主導(dǎo)的DDOS攻擊在全球大有愈演愈烈之勢，在國內(nèi)也不例外。Arbor Networks針對DDOS攻擊出現(xiàn)的一些新趨勢，提出了深度包檢測、可視化流量分析等復(fù)合型電信級清洗策略。

近年來，僵尸網(wǎng)絡(luò)已經(jīng)變得越來越龐大和復(fù)雜，不斷滋生垃圾郵件、網(wǎng)絡(luò)釣魚和身份盜用等網(wǎng)絡(luò)犯罪。電信運營商的利益也在受到僵尸網(wǎng)絡(luò)的侵害，由僵尸網(wǎng)絡(luò)發(fā)起的DDOS攻擊持續(xù)威脅著電信級網(wǎng)絡(luò)的性能與安全，給運營商帶來直接或間接的經(jīng)濟損失。

DDOS攻擊加劇

DDOS攻擊被設(shè)計用來淹沒目標網(wǎng)絡(luò)，從而使得受害企業(yè)無法處理合法的請求;在DDOS的多種表現(xiàn)形式中，運營商最多看到的癥狀是流量擁塞和帶寬消耗，而不是應(yīng)用資源出現(xiàn)問題。在過去的幾年時間里，運營商普遍完成了骨干基礎(chǔ)網(wǎng)絡(luò)的新一輪投資和升級，10Gbps成為了各運營商網(wǎng)絡(luò)傳輸能力的普遍水平，而40G技術(shù)也正在逐步商業(yè)化。在這個過程中，DDOS給業(yè)界帶來的困擾也在增加。

Arbor Networks聯(lián)合創(chuàng)始人及CTO羅馬倫博士指出，自2000年以來，針對電信運營商的DDOS趨于復(fù)雜，中級“業(yè)余”攻擊和多達數(shù)十Gbps的“專業(yè)”攻擊之間的分化越來越明顯，“專業(yè)”攻擊的危害也變得越來越大;在2008年已知的DDOS攻擊中，最大規(guī)模達到42Gbps，儼然跟隨并超越基礎(chǔ)網(wǎng)絡(luò)傳輸能力的增長幅度。

僵尸網(wǎng)絡(luò)對我國網(wǎng)絡(luò)安全的影響正在日益擴大。記者從國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心了解到，2008年7月至8月CNCERT/CC對僵尸網(wǎng)絡(luò)活動狀況的抽樣監(jiān)測結(jié)果顯示，國內(nèi)外累計2797個IP地址(中國大陸有533個)對應(yīng)的主機被作為僵尸網(wǎng)絡(luò)控制服務(wù)器，這些IP在中國均有訪問和活動;累計302519個位于中國大陸地區(qū)的IP被僵尸服務(wù)器所控制;中國大陸地區(qū)有170748個IP地址對應(yīng)的主機被境外控制者植入木馬，秘密控制我國大陸計算機的IP絕大多數(shù)來自我國臺灣和美國。

僵尸網(wǎng)絡(luò)威脅3G互聯(lián)網(wǎng)

僵尸網(wǎng)絡(luò)除了滋生DDOS攻擊，也是當前蠕蟲、惡意代碼等應(yīng)用層攻擊的罪魁禍首;而DDOS攻擊與應(yīng)用層攻擊、惡意代碼等正呈現(xiàn)出結(jié)合的趨勢。羅馬倫指出，DDOS攻擊正在逐漸分化為兩種模式，一種是大于10Gbps流量的暴力式帶寬侵占，表現(xiàn)為非面向連接的洪水流量大肆堵塞網(wǎng)絡(luò)通路;另一種攻擊可能對帶寬的侵占并不高，但卻是一種基于HTTP和SIP協(xié)議或者用戶DNS的應(yīng)用級流量攻擊，它所帶來的危害性會更大。記者了解到，目前中國移動只部署有過濾垃圾短信這種傳統(tǒng)無線業(yè)務(wù)的網(wǎng)關(guān)設(shè)備，尚未對移動互聯(lián)網(wǎng)的到來做好骨干流量和城域網(wǎng)流量管控、清洗方面的準備。3G在中國商用和無線互聯(lián)網(wǎng)的搭建將進一步加劇DDOS帶來的風險。由于國內(nèi)移動運營商如中國移動在2G時代不用面對DDOS攻擊的問題，因此其在DDOS防范和流量清洗方面的經(jīng)驗幾乎為零。而當3G商用，智能化終端和寬帶化3G網(wǎng)絡(luò)會與互聯(lián)網(wǎng)接軌，而無線互聯(lián)網(wǎng)內(nèi)部也將互聯(lián)網(wǎng)化，傳統(tǒng)互聯(lián)網(wǎng)面對的諸多安全問題，如DDOS攻擊、蠕蟲等，也將陸續(xù)出現(xiàn)在無線互聯(lián)網(wǎng)的城域網(wǎng)中。這將會使缺乏固網(wǎng)DDOS防范經(jīng)驗的中國移動面臨巨大挑戰(zhàn)。

多手段組合的手術(shù)式清洗

采用多手段組合的流量清洗策略，是電信運營商應(yīng)付DDOS攻擊的現(xiàn)實策略。羅馬倫認為，如果DDOS攻擊來源的IP地址可以確定，攻擊就應(yīng)該被阻斷在源頭上;但更多的情況是電信運營商無法鎖定攻擊的源頭，這種情況下可以應(yīng)用路由策略來減少攻擊的通路，通過執(zhí)行單播反向路徑轉(zhuǎn)發(fā)的路由器策略來實現(xiàn)。此外，根據(jù)DDOS攻擊類型的不同，采用同步代理等防御技術(shù)也可以發(fā)揮重要作用;而對于不同級別的DDOS攻擊，其流量也可以通過DPI設(shè)備進行過濾，整型限速到運營商可以接受的流量水平。

Arbor Networks正在嘗試將這些先進的流量清洗策略整合到一套單獨的、易于管理的系統(tǒng)中去。Arbor PeakflowSP和PeakflowSP威脅管理系統(tǒng)(TMS)是Arbor Networks的旗艦產(chǎn)品。通過使用ArborPeakflowSP和PeakflowSP威脅管理系統(tǒng)(TMS)組合，電信運營商可以檢測出攻擊流量并對其實施精確的手術(shù)式清洗，從而保證合法的業(yè)務(wù)流量不受影響。在阻斷攻擊流量之后，網(wǎng)絡(luò)運維人員可以便捷地為客戶和部門管理層生成清洗過程詳細報告。

記者了解到，目前，中國電信已經(jīng)部署了3套PeakflowSP系統(tǒng)，共19臺設(shè)備，而原中國網(wǎng)通也已部署1套系統(tǒng)，共10臺設(shè)備。以中國電信為例，在中國電信看來，網(wǎng)絡(luò)的安全與操作性能是中國電信開展所有工作的基礎(chǔ)，中國電信之所以選擇Arbor Networks是因為其已證實的提供融合了流量工程和容量規(guī)劃的網(wǎng)絡(luò)可視性化和安全性的能力，這使中國電信能夠預(yù)先規(guī)劃網(wǎng)絡(luò)發(fā)展，評估互聯(lián)網(wǎng)對等關(guān)系并降低傳輸成本