周二，Wells Fargo(富國銀行)在線銀行網(wǎng)站遭到了攻擊，成為近期一系列針對(duì)銀行攻擊的最新中槍者，此前，摩根大通、美洲銀行在上周就已遭到本輪攻擊。雖然富國銀行沒有透露太多細(xì)節(jié)，但輿論普遍認(rèn)定，它遭到的依然是分布式拒絕服務(wù)攻擊(DDoS攻擊)。按照目前的技術(shù)發(fā)展趨勢，DDoS攻擊正在變得越來越容易，而防御卻變得更難。因此，應(yīng)對(duì)DDoS攻擊，加強(qiáng)產(chǎn)業(yè)鏈間的合作勢在必行。

DDos攻擊攻易防難

如今，DDoS攻擊已經(jīng)不需要高超的計(jì)算機(jī)技術(shù)，也不需要嚴(yán)密的組織，越來越多的普通人加入攻擊者隊(duì)伍中來。業(yè)內(nèi)人士透露，現(xiàn)在，只要具備兩個(gè)條件，就能進(jìn)行DDoS攻擊：第一，有用來攻擊的工具;第二，有足夠多的“肉雞”，也就是僵尸機(jī)器，而“肉雞”在黑市上已經(jīng)隨處可見，甚至形成了完整的地下產(chǎn)業(yè)鏈。DDoS攻擊變得越來越容易，而防御卻變得更難。

同時(shí)，跟過去相比，DDoS攻擊又出現(xiàn)了一些新的技術(shù)趨勢。黑客從傳統(tǒng)的高帶寬/大流量攻擊演化為隱蔽性更強(qiáng)的應(yīng)用層攻擊，有時(shí)甚至將這兩種手段組合運(yùn)用。那些針對(duì)應(yīng)用層的“低帶寬慢速”攻擊在影響正常服務(wù)前，是極難被檢測到的。而傳統(tǒng)的大流量攻擊也日益壯大，他們使用數(shù)據(jù)更加龐大的受感染機(jī)器來發(fā)起攻擊。在2010年，Arbor調(diào)查發(fā)現(xiàn)，當(dāng)年已經(jīng)出現(xiàn)了100Gbps級(jí)攻擊，超過2009年發(fā)生的最大攻擊規(guī)模的兩倍。

而隨著企業(yè)對(duì)數(shù)據(jù)中心和云服務(wù)依賴性的增強(qiáng)，DDoS攻擊帶來的影響正變得更大，后果變得更為嚴(yán)重。以上述14家被攻擊的金融公司為例，如果沒有一家報(bào)案，最壞的情況是：14家公司被攻擊后，攻擊目標(biāo)一旦全部達(dá)成，每天440億港幣的交易就要停滯，這對(duì)整個(gè)香港金融市場將會(huì)產(chǎn)生巨大沖擊，甚至將影響到香港社會(huì)的穩(wěn)定。而在私車牌照拍賣系統(tǒng)遭攻擊的案例中，攻擊者攻陷該系統(tǒng)僅僅動(dòng)用了手中1/20的“肉雞”，如果他將所掌握的10萬個(gè)“肉雞”全部用上，一起發(fā)動(dòng)攻擊，就可能達(dá)到100Gbps級(jí)攻擊，這是目前世界上任何一個(gè)特大型數(shù)據(jù)中心都難以經(jīng)受得起的超帶寬、超流量攻擊。

防范DDos攻擊需產(chǎn)業(yè)鏈的通力協(xié)作

面對(duì)如此嚴(yán)峻的DDoS攻擊形勢，我們需要更多的主動(dòng)合作精神，來共同防御。

在今年8月，中央電視臺(tái)報(bào)道，香港多達(dá)14家金融機(jī)構(gòu)均遭到DDoS攻擊。這14家金融公司每天在香港股市的交易額為440億港幣，而攻擊者只是長沙的4個(gè)普通年輕人，他們要求每家被攻擊者提供30萬元，并在規(guī)定時(shí)間內(nèi)到賬，否則就繼續(xù)攻擊。有4家被攻擊公司給指定賬戶匯了錢，第5家公司選擇了報(bào)案。由此，大陸和香港警方聯(lián)手破獲此案，將犯罪分子繩之以法。

4個(gè)普通的年輕人，膽敢跟交易額以億計(jì)的金融公司叫板，聽上去確實(shí)令人匪夷所思。但這真的發(fā)生了，而且犯罪分子險(xiǎn)些得手。這到底是為什么呢？防DDoS廠商Arbor公司中國區(qū)域經(jīng)理蔡志剛道出了其中玄機(jī)：通常情況下，金融類公司(銀行、證券、保險(xiǎn)等)在遭到攻擊時(shí)都會(huì)選擇私了，因?yàn)橐坏讣?duì)外披露或向公安局報(bào)案，給他們帶來的名譽(yù)損失和經(jīng)濟(jì)損失會(huì)比被勒索幾十萬元人民幣要大得多。而在上述案件中，選擇報(bào)案的攻擊者很可能碰巧是過去未被攻擊過的新手。

從被攻擊者的角度看，以被攻擊的金融機(jī)構(gòu)為例，正是在“兩害相權(quán)選其輕”的思路下，他們選擇了向犯罪分子屈服(哪怕這些犯罪分子的技術(shù)和實(shí)力如此低端)，但這恰恰會(huì)縱容攻擊者肆無忌憚地發(fā)起攻擊行動(dòng)。這個(gè)受攻擊的群體需要以更多的“俠客”精神來發(fā)起反抗，聯(lián)合起來對(duì)付攻擊者。被攻擊的企業(yè)也需要與上游ISP(運(yùn)營商)和MSSP(安全托管服務(wù)商)合作，共同防御大型洪水式攻擊。而從安全從業(yè)者角度看，需要更加主動(dòng)智能的防御措施來應(yīng)對(duì)DDoS攻擊在技術(shù)上的新變化。為便于產(chǎn)業(yè)鏈各環(huán)節(jié)更好地合作，Arbor發(fā)起了“云信令”聯(lián)盟，該聯(lián)盟由ISP(運(yùn)營商)和MSSP(安全托管服務(wù)商)組成。目前，全球已有很多一類、二類運(yùn)營商成為云信令聯(lián)盟成員。該公司還相應(yīng)推出以“云信令”為特色的防DDoS攻擊解決方案。當(dāng)企業(yè)受到DDOS攻擊、帶寬被占滿時(shí)，部署在企業(yè)數(shù)據(jù)中心外緣的可用性保護(hù)系統(tǒng)Pravail APS會(huì)發(fā)出云信令到上游運(yùn)營商端云端清洗中心，自動(dòng)啟動(dòng)上游云端的清洗，將惡意流量排除在外。

在主動(dòng)防御方面，Arbor的ATLAS全球安全威脅分析系統(tǒng)也十分重要，該系統(tǒng)每天7X24進(jìn)行實(shí)時(shí)收集、分析新的攻擊特征，并基于這些特征提供新的解決方案。當(dāng)然，只有基于足夠多的運(yùn)營商用戶，尤其是一類、二類運(yùn)營商用戶，所收集到的攻擊特征才足夠充分全面。

小結(jié)

以上分析表明，對(duì)付DDoS攻擊，加強(qiáng)產(chǎn)業(yè)鏈間的合作勢在必行。