2013年上半年，全球僵尸網(wǎng)絡(luò)依然保持小型化、局部化和專業(yè)化的特點(diǎn)。

基于通信報文特征及行為特征的識別技術(shù)是主流僵尸網(wǎng)絡(luò)檢測技術(shù)，在此基礎(chǔ)上，新的安全技術(shù)也在不斷發(fā)展?；贔ast-flux惡意域名請求的監(jiān)測技術(shù)、新一代的沙箱與蜜網(wǎng)技術(shù)、DDoS攻擊溯源，以及借助云安全技術(shù)形成的C&C主機(jī)及僵尸主機(jī)全球IP信譽(yù)庫，使得人們第一時間感知威脅，并在線快速阻斷惡意流量成為可能。

從網(wǎng)絡(luò)攻擊的分類統(tǒng)計數(shù)據(jù)來看，利用僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊依然占網(wǎng)絡(luò)攻擊事件的絕大多數(shù)，針對應(yīng)用層的DDoS攻擊事件上升趨勢尤其明顯，攻擊手段也更加隱蔽。

隨著智能終端的普及與移動應(yīng)用的快速發(fā)展，固網(wǎng)僵尸網(wǎng)絡(luò)模擬移動網(wǎng)絡(luò)流量發(fā)起的針對移動應(yīng)用的DDoS攻擊頻度越來越高。

熱點(diǎn)事件

2013年3月，歐洲的反垃圾郵件公司Spamhaus網(wǎng)站遭遇史上最大流量DDoS攻擊，攻擊流量峰值高達(dá)300Gbps。攻擊者借助互聯(lián)網(wǎng)存在的大量開放DNS服務(wù)器，采用DNS反射技術(shù)發(fā)起本次攻擊。此次攻擊事件給人們的警示是：互聯(lián)網(wǎng)開放DNS服務(wù)器數(shù)量巨大，如果繼續(xù)讓其保持無管理狀態(tài)，將會在未來的某一天再次成為引發(fā)互聯(lián)網(wǎng)安全風(fēng)暴的定時炸彈。而在本次超大流量DDoS攻擊的對抗過程中，最終采用了基于Anycast技術(shù)的云清洗方案有效控制攻擊，這使人們意識到，提供抗DDoS服務(wù)的MSSP是應(yīng)對超大DDoS攻擊流量的希望。可以預(yù)見，未來在各大洲部署清洗中心以提供強(qiáng)大的Anti-DDoS SaaS服務(wù)，會逐步成為基礎(chǔ)ISP的一種選擇。

僵尸網(wǎng)絡(luò)現(xiàn)狀

根據(jù)華為云安全中心統(tǒng)計，全球范圍內(nèi)，中國和美國的僵尸網(wǎng)絡(luò)主機(jī)數(shù)分別占整體數(shù)量的30.3%和28.2%，遠(yuǎn)高于其他國家;從控制者來看，美國境內(nèi)的控制者最多，占總量的42.2%，而中國約占3.8%，其它比例較高的依次為德國(9.1%)、法國(7%)和英國(5.8%)。

在中國地區(qū)，僵尸網(wǎng)絡(luò)的受控者/控制者排名前五位的分別是Boer_Family、Gh0st_Family、Yoddos_Family、Xyligan_Family和IMDDOS。

現(xiàn)網(wǎng)流行的DDoS僵尸工具種類繁多，攻擊方式趨向于模擬正常業(yè)務(wù)客戶端訪問行為，攻擊報文特征可隨意變換，這使得傳統(tǒng)的特征過濾防御技術(shù)難以奏效，安全設(shè)備提供商不得不開始尋求基于行為分析、會話監(jiān)控、IP信譽(yù)等更為有效的防御技術(shù)。

隨著移動應(yīng)用的迅猛發(fā)展，全球3G和4G移動網(wǎng)絡(luò)的快速普及，移動惡意樣本快速涌現(xiàn)，移動僵尸網(wǎng)絡(luò)勢必成為僵尸網(wǎng)絡(luò)新的發(fā)展方向。

借助DNS服務(wù)快速變更充當(dāng)C&C代理的Fast-Flux技術(shù)，使得C&C服務(wù)器可以巧妙地隱藏躲避在代理僵尸主機(jī)背后，因此迅速被主流僵尸網(wǎng)絡(luò)廣泛采用。

DDoS攻擊現(xiàn)狀

政治動機(jī)、惡意競爭、經(jīng)濟(jì)犯罪、敲詐勒索依然是黑客發(fā)起DDoS攻擊的主要目的。

華為云安全中心的統(tǒng)計數(shù)據(jù)顯示，針對應(yīng)用層的DDoS攻擊事件上升趨勢明顯，針對HTTP應(yīng)用的DDoS攻擊已經(jīng)占到攻擊總量的89.11%。在中國地區(qū)，北京、上海、深圳的DDoS攻擊事件最多，占全國總量的81.42%。形成該態(tài)勢的主要原因是，這三個地域擁有承載互聯(lián)網(wǎng)熱點(diǎn)業(yè)務(wù)的數(shù)據(jù)中心比例較高。

數(shù)據(jù)中心一直是DDoS攻擊的重災(zāi)區(qū)。在數(shù)據(jù)中心，排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)、在線游戲、DNS服務(wù)。尤其是針對DNS服務(wù)的攻擊影響面最廣，對互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)所造成的威脅也最嚴(yán)重。而在WEB攻擊的主要目標(biāo)中，排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)、網(wǎng)頁游戲、在線金融業(yè)務(wù)。針對數(shù)據(jù)中心的網(wǎng)絡(luò)層DDoS攻擊則直接威脅到網(wǎng)絡(luò)基礎(chǔ)設(shè)施(如防火墻、IPS、負(fù)載均衡設(shè)備)，而應(yīng)用層DDoS攻擊則威脅著在線業(yè)務(wù)。頻繁的DDoS攻擊導(dǎo)致數(shù)據(jù)中心運(yùn)營成本增高，而帶寬的可用性降低則導(dǎo)致客戶滿意度下降甚至流失。

趨勢預(yù)測

華為云安全中心預(yù)測，未來幾年內(nèi)，移動僵尸網(wǎng)絡(luò)的規(guī)模化、P2P僵尸網(wǎng)絡(luò)的規(guī)模擴(kuò)大化、Fast-flux等躲避技術(shù)的深度應(yīng)用依然是僵尸網(wǎng)絡(luò)的發(fā)展趨勢。

互聯(lián)網(wǎng)業(yè)務(wù)和云計算的發(fā)展熱潮，將會導(dǎo)致針對云數(shù)據(jù)中心的DDoS攻擊頻率大幅增長，攻擊手段也會更加復(fù)雜。未來為降低攻擊成本，有效隱藏攻擊源，躲避安全設(shè)備，同時保證攻擊效果，針對數(shù)據(jù)中心的DDoS攻擊類型將主要集中在小流量的應(yīng)用層攻擊和各類慢速攻擊。

隨著全球LTE建設(shè)步伐的加快，移動網(wǎng)絡(luò)帶寬迅速提升，基于移動智能終端的應(yīng)用大行其道，應(yīng)用自身的后門或者越獄過的不可信設(shè)備將會被利用，成為移動僵尸網(wǎng)絡(luò)的一部分，從而發(fā)起針對移動應(yīng)用的DDoS攻擊，這將成為DDoS攻擊發(fā)展的新趨勢。這使得安全設(shè)備提供商不得不借助僵尸網(wǎng)絡(luò)IP信譽(yù)、安全信譽(yù)云等更為有效的防御方法，以期從源頭上對抗無處不在的DDoS攻擊。

針對多核CPU架構(gòu)網(wǎng)絡(luò)安全設(shè)備分流不均缺陷，已經(jīng)衍生出新型DDoS攻擊類型。這對安全設(shè)備廠商提出新的挑戰(zhàn)，要求多核CPU架構(gòu)網(wǎng)絡(luò)安全設(shè)備接口不僅要具備線性轉(zhuǎn)發(fā)能力，還需具備一定的攻擊流量動態(tài)過濾能力。

未來幾年，IPv4網(wǎng)絡(luò)將逐步向IPv6演進(jìn)。針對IPv4和IPv6網(wǎng)絡(luò)的混合攻擊很快就會成為新型的DDoS攻擊威脅，眾多IPv4和IPv6協(xié)議轉(zhuǎn)換網(wǎng)關(guān)設(shè)備也將成為DDoS攻擊的目標(biāo)。而且，隨著IPv6網(wǎng)絡(luò)的普及，針對IPv6網(wǎng)絡(luò)協(xié)議的漏洞攻擊將逐步爆發(fā)。