在2018年2月，世界上最大的分布式拒絕服務(wù)(DDoS)攻擊在發(fā)起20分鐘內(nèi)得到控制，這主要得益于事先部署的DDoS防護(hù)服務(wù)。

這次攻擊是針對(duì)GitHub–數(shù)百萬開發(fā)人員使用的主流在線代碼管理服務(wù)，GitHub遭受1.3Tbps的傳入流量攻擊，并受到每秒1.269億的數(shù)據(jù)包轟炸。在攻擊發(fā)生的10分鐘內(nèi)，GitHub拉響警報(bào)并將其流量路由到其DDoS緩解服務(wù)Akamai Prolexic，后者整理并阻止了惡意流量。

[[257334]]

GitHub并不是唯一的DDoS攻擊受害者，現(xiàn)在DDoS攻擊的強(qiáng)度越來越大，同時(shí)也越來越復(fù)雜。F5 Networks公司亞太區(qū)安全專家Shahnawaz Backer表示，根據(jù)F5的數(shù)據(jù)來看，自2017年以來，亞太地區(qū)企業(yè)也開始遭遇DDoS攻擊，攻擊速度幾乎與北美企業(yè)遭遇的攻擊相同，這種攻擊歷來非常有針對(duì)性。

另外，東盟國(guó)家的企業(yè)也沒有幸免。根據(jù)Frost&Sullivan的數(shù)據(jù)，針對(duì)東盟的DDoS攻擊有顯著增長(zhǎng)，占亞太地區(qū)市場(chǎng)的20%。

現(xiàn)在，越來越多的企業(yè)開始投資于DDoS解決方案，尤其是基于云的DDoS緩解服務(wù)，并逐漸遠(yuǎn)離以服務(wù)提供商為中心的市場(chǎng)。

DDoS攻擊是企業(yè)可能面臨的最復(fù)雜的威脅之一。在DDoS攻擊中，個(gè)體黑客、組織型犯罪團(tuán)伙或國(guó)家行為者的目標(biāo)是淹沒企業(yè)網(wǎng)絡(luò)、網(wǎng)站或網(wǎng)絡(luò)組件，例如路由器。因此，企業(yè)必須確定流量高峰是合法流量還是攻擊。

IDC公司亞太地區(qū)業(yè)務(wù)和IT服務(wù)研究集團(tuán)高級(jí)市場(chǎng)分析師Sherrel Roche表示：“如果沒有對(duì)基線和歷史流量趨勢(shì)的充分了解，企業(yè)就不可能及時(shí)發(fā)現(xiàn)攻擊，導(dǎo)致嚴(yán)重后果。”

Landbank銀行是菲律賓最大的國(guó)有銀行，該銀行已采取措施部署F5的BIG-IP本地流量管理器，以更好地了解其應(yīng)用程序流量和性能，以及在客戶數(shù)據(jù)進(jìn)入和離開應(yīng)用時(shí)充分了解客戶數(shù)據(jù)。這使其安全團(tuán)隊(duì)能夠在發(fā)現(xiàn)欺詐交易后立即對(duì)其進(jìn)行檢查、管理和報(bào)告。

除此之外，他們還有內(nèi)部部署的應(yīng)用程序級(jí)7層網(wǎng)絡(luò)DDoS緩解服務(wù)，以確保關(guān)鍵任務(wù)應(yīng)用程序免受針對(duì)應(yīng)用程序的攻擊。

而在攻擊者這一邊，攻擊者可相對(duì)簡(jiǎn)單地使用隨時(shí)可用的DDoS租用服務(wù)發(fā)起DDoS攻擊，即使是技術(shù)很差或沒有技術(shù)技能的人也可能發(fā)起破壞性攻擊。

Akamai Technologies亞太地區(qū)安全技術(shù)和戰(zhàn)略主管Fernando Serto表示，曾經(jīng)在Steam游戲發(fā)行平臺(tái)和IRC(互聯(lián)網(wǎng)中繼聊天)的聊天室組織過這樣的攻擊，很多參與成員使用下載的工具，產(chǎn)生超過170Gbps的流量。其中還包括一位12歲開發(fā)人員的YouTube教程。

DDoS的部分挑戰(zhàn)在于這些攻擊的復(fù)雜性。DDoS攻擊不僅有多種類別攻擊方法，而且每個(gè)類別都有很多不同的攻擊方式。攻擊者還可以使用幾種不同的攻擊向量攻擊相同的目標(biāo)。

最重要的是，有些攻擊很難被發(fā)現(xiàn)。其中一種值得注意的攻擊，它會(huì)通過一系列突發(fā)(持續(xù)幾分鐘)來淹沒目標(biāo)的DNS(域名系統(tǒng))服務(wù)器，而不是通過持續(xù)的攻擊。

Serto稱：“這會(huì)導(dǎo)致抵御方疲勞，因?yàn)檫@些突發(fā)流量會(huì)涌入很長(zhǎng)一段時(shí)間，因此，對(duì)這些類型的攻擊進(jìn)行檢測(cè)變得非常困難，更不用說緩解。”

DDoS攻擊與其他網(wǎng)絡(luò)攻擊不同，后者可通過修復(fù)補(bǔ)丁和本地安裝的安全設(shè)備得以完全阻止。Gartner公司高級(jí)分析師Rajpreet

Kaur說，對(duì)拒絕服務(wù)的防御計(jì)算是不同的，因?yàn)槿魏纹髽I(yè)都無法靠自己防御或阻止所有DDoS攻擊。

然而，投資DDoS保護(hù)的決定并不容易，由于DDoS緩解是一項(xiàng)昂貴的投資，除非企業(yè)或其競(jìng)爭(zhēng)對(duì)手遭受攻擊，否則企業(yè)不會(huì)輕易考慮這項(xiàng)投資。

Kaur稱：“跨國(guó)公司和全球公司可能會(huì)投資于DDoS防護(hù)解決方案，但高昂的成本可能會(huì)阻止較小的本地公司。”

Frost&Sullivan公司網(wǎng)絡(luò)安全高級(jí)行業(yè)分析師Vu Anh Tien表示，隨著企業(yè)將應(yīng)用程序和基礎(chǔ)架構(gòu)遷移到云端，IT基礎(chǔ)架構(gòu)變得越來越復(fù)雜，這需要DDoS解決方案來滿足不同的環(huán)境需求。

清理干凈

在2018年2月，GitHub應(yīng)對(duì)大規(guī)模攻擊依靠的是清理服務(wù)，這是一種常見的DDoS緩解技術(shù)。通過使用此方法，發(fā)往特定IP地址范圍的流量將重定向到清理數(shù)據(jù)中心，其中攻擊流量將得到“清理”或清洗。然后，只有干凈的流量才會(huì)轉(zhuǎn)發(fā)到目標(biāo)目的地。

Gartner公司的Kaur說，大多數(shù)DDoS清洗提供商都有三到七個(gè)清理中心，通常分布在全球各地。每個(gè)中心都包含DDoS緩解設(shè)備和大量帶寬，這些帶寬可能超過350Gbps。當(dāng)客戶受到攻擊時(shí)，他們只要“按下按鈕”將所有流量重定向到最近的清理中心即可。

企業(yè)客戶可通過兩種方式利用清理中心：一種是全天候通過清理中心路由流量，而另一種則是在發(fā)生攻擊時(shí)按需路由流量。

鑒于安全攻擊和IT基礎(chǔ)架構(gòu)的復(fù)雜性，企業(yè)越來越多地開始采用混合保護(hù)模型，以抵御最廣泛的潛在攻擊媒介。Backer稱，他們通常以內(nèi)部部署系統(tǒng)作為第一道防線，當(dāng)內(nèi)部部署技術(shù)不堪重負(fù)時(shí)，便會(huì)利用清理中心。

IDC公司Roche補(bǔ)充道：“為了無縫地(以減少停機(jī)時(shí)間)將不良流量轉(zhuǎn)移到清理中心，企業(yè)需要在云端和本地解決方案之間實(shí)現(xiàn)無縫集成，以在攻擊到達(dá)核心網(wǎng)絡(luò)資產(chǎn)和數(shù)據(jù)前緩解攻擊。”

清理中心主要用于保護(hù)客戶環(huán)境中的基礎(chǔ)設(shè)施，例如DNS服務(wù)器、郵件中繼和其他基于IP的應(yīng)用程序，同時(shí)，企業(yè)也會(huì)轉(zhuǎn)向基于內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)的DDoS緩解服務(wù)來保護(hù)網(wǎng)絡(luò)和移動(dòng)應(yīng)用程序，以及很多物聯(lián)網(wǎng)(IoT)應(yīng)用程序的應(yīng)用程序編程接口(API)流量。

Akamai的Serto說：“基于CDN的方法還將保護(hù)應(yīng)用程序免受應(yīng)用程序?qū)庸?，例如SQL注入、跨站腳本攻擊和遠(yuǎn)程文件包含攻擊，以及憑據(jù)濫用攻擊–使用機(jī)器人進(jìn)行自動(dòng)化。”

Gartner公司的Kaur表示，盡管大多數(shù)清理服務(wù)提供商都提供強(qiáng)大的DDoS緩解功能，但企業(yè)應(yīng)對(duì)提供商進(jìn)行評(píng)估，包括其基礎(chǔ)架構(gòu)容量、服務(wù)水平、經(jīng)驗(yàn)和定價(jià)等。

Kaur說：“企業(yè)需要在不同層級(jí)部署多種拒絕服務(wù)防御措施，不僅僅是購(gòu)買單一安全產(chǎn)品或選擇單一服務(wù)提供商。全面的解決方案需要考慮云清理中心、CDN、DNS保護(hù)、邊緣和應(yīng)用DDoS設(shè)備。”