DDoS攻擊發展曆程縱覽

到(dào)今年(nián)萬維網才剛剛迎來(lái)¶★自(zì)己的(de)25歲生(shēng♦®↕)日(rì)，但(dàn)在這(zhè)短(duǎn)短(duǎnφ ×∑)的(de)二十多(duō)年(nián)當中其已經迎來(lái≥ )了(le)無數(shù)進步&mdash ☆;—無論是(shì)在理(lǐ)論還(hái)是( ®shì)實踐層面。然而談到(dào)DDoS攻擊，我們會(huì)發現(xiàn)這(zhè)種簡₹‌♣單易行(xíng)且能(néng)夠一(yī)次性實現(x•πiàn)多(duō)項目标的(de)攻擊方♠✘式直到(dào)今天仍然到(dào)處肆虐，而且很(hěn)明↑→®(míng)顯網絡世界并沒能(néng)拿(ná)出同樣快(kπ€≤>uài)速發展的(de)手段加以應對(duì)‍₩←β。今天的(de)文(wén)章(zhāng)針探討(tǎo)互聯網服務供 →應商及安全廠(chǎng)商應如(rú)何緩解此類威脅≈∞，并分(fēn)析技(jì)術(shù)人(rén≥×₽÷)員(yuán)須采取哪些(xiē)方案對(duì)抗這(zhè)類網絡犯罪活 ↔動。
DDoS的(de)發展曆程

在DDoS攻擊剛剛誕生(shēng)之時(shí)（也(yě)就(jiù)↕♣是(shì)2000年(nián)左右）®  ，其相(xiàng)關防護技(jì)術(shù)主要(yào)掌' ♣握在服務供應商手中，他(tā)們專注于利用(yòng)此類能(nén•​g)力檢測DDoS攻擊的(de)發生(shēΩ→ng)。不(bù)過當時(shí)的(de)檢☆""測方式較為(wèi)粗糙，主要(yào)←✔↕是(shì)對(duì)邊緣路(lù)由器(γ•♠₽qì)進行(xíng)采樣并查詢其中的(d×'e)NetFlow記錄。在這(zhè)種情況下(xià)，運營商确實✔¥ <能(néng)夠及時(shí)發現(xiàn)由DDoS≈‍ε≤帶來(lái)的(de)流量增長(cháng)，但φ€>♦(dàn)卻幾乎沒辦法真正對(duì)此類攻擊加以↓→抵禦。而且由于沒有(yǒu)任何真正可(kě)選擇解決方案，網絡運營商☆∞ ∞隻能(néng)首先發布攻擊活動通(tōng)知(z•♥→λhī)，而後以手動方式向服務供應商的(de)網絡邊緣注入無效路(lù)由&≠∑mdash;—有(yǒu)時(shí)候也(yě)被稱為(w←∏èi)黑(hēi)洞路(lù)由&mdash★↑±;—從(cóng)而進行(xíng)攻擊阻斷。這(zhè)種→₹無效路(lù)由足以将指向受害者的(de)₹₽™®全部攻擊流利加以屏蔽。


然而這(zhè)種方案也(yě)存在著(zhe)極為(wπ✘→èi)明(míng)顯的(de)缺陷。無效路(lù)由的(de)注入π★在阻斷惡意流量的(de)同時(shí)，也(yě)會(hu≥Ωì)讓正常網絡流量屏蔽在外(wài)。目标受害者會(huì​≠)因此徹底陷入離(lí)線狀态，而這(zh•♥‌è)恐怕正是(shì)攻擊發起方所希望達到( β₹dào)的(de)最佳效果—& £mdash;畢竟向受害者IP地(dì)址大(dà)量傾瀉數(shù)≈¶據包的(de)目的(de)也(yě)正在于此。α♥不(bù)過必須承認，這(zhè)種方案至少(shǎo®γ♣)能(néng)夠阻止攻擊流量，并保護客戶或者基礎設施免受DDoS攻擊ε★☆→其它連帶作(zuò)用(yòng)的(de)影(yǐng)響。


向後快(kuài)速推進幾年(nián)，我們發現(♠&™xiàn)針對(duì)DDoS攻擊的(de)防護機(jī)↔★£制(zhì)開(kāi)始出現(xiàn↔®$¥)長(cháng)足進步，而運營商們也(yě)拿(ná♦>)出了(le)革命性的(de)保護技(jì)術(shù)。很(hěn)§↕明(míng)顯，無效路(lù)由絕對(duì)不(bù)是(shì)運營¶↓₽商們喜聞樂(yuè)見(jiàn)的(de)應對(duì)辦法。從(cóng)¶÷€這(zhè)時(shí)開(kāi)始，​≈當操作(zuò)人(rén)員(yuánσ<")發現(xiàn)突然出現(xiàn)的(de)流量峰值時(shí)，他(tā₹"Ω)們不(bù)會(huì)注入無效路(lù)由，而是(s₽∏♠hì)添加一(yī)套新的(de)路(lù)由。通(tōng) ≠過建立這(zhè)套校(xiào)報(bào)路∑₩(lù)由，運營商們能(néng)夠對(duì)指向應用(yòng)♣✘或者特定銀(yín)行(xíng)設備的(de)流量加以重新定向，并嘗試将€'其中的(de)DDoS攻擊流量從(cóng)正Ω‌常用(yòng)戶流量中剔除出來(lái)。這(zhèγ>)套方案很(hěn)快(kuài)在各DDoS≠≈應對(duì)中心及DDoS分(fēn)流通(tōn♥≥g)道(dào)領域得(de)到(dào)普及，而且直到(dào)今天仍然✘ 發揮著(zhe)重要(yào)作(zuò)用(yòng)。


這(zhè)種DDoS清理(lǐ)辦法雖然已經算(suàn)是(£÷shì)種顯著改進，但(dàn)卻仍然需要(yàλ®o)相(xiàng)當程度的(de)人(r™γεén)工(gōng)因素介入其中。首先需要(yào∑‌∏)對(duì)DDoS攻擊進行(xíng)檢測（仍然 $<是(shì)通(tōng)過NetFlow記錄分(fēn)析實現©≤(xiàn)），而後操作(zuò)人(rén)員(&↑£yuán)以手動方式查詢受害者的(de)目标≥"IP地(dì)址。一(yī)旦受害者被确定，BGP路(lù™§♣☆)由更新機(jī)制(zhì)會(huì)£δ≥馬上(shàng)介入以注入新路(lù)由，從(cóng)而将指向受害者的(♥←↑de)流量重新指向至分(fēn)流通(tōng)道(dào)∑€♦β。分(fēn)流通(tōng)道(dào)中的(de)∑≈設備會(huì)嘗試将DDoS流量從(cóng)正常流量當中剔除出♦δ去(qù)，并将後者繼續交付給下(xià)遊客戶。為(wèi)了β$'(le)能(néng)夠讓正常流量重新回歸原始目的(de) ±‍地(dì)，操作(zuò)人(rén)員(yuán‍$∑)在大(dà)多(duō)數(shù)情況下(xià)會(hu±₩&σì)在分(fēn)流通(tōng)道(dào)當中創 'δ±建一(yī)條指向客戶邊界路(lù)由器(qì)的(de)GRE通(tōng)× ♥道(dào)。這(zhè)種方案雖然較無效路(lù)由有(yǒu§> )了(le)很(hěn)大(dà)進步，但(dàn§•€₹)仍然會(huì)給運營商網絡拓撲結構帶來(lái∑×)大(dà)量複雜(zá)性因素，而且需要♦π​(yào)聘請(qǐng)身(shēn)價不(bù)菲的(de)專☆‌γ≤業(yè)安全人(rén)員(yuán)來(lá<÷i)确保整個(gè)流程得(de)到(dào)正确執行(xíng"‌π↔)。


最近(jìn)，DDoS的(de)複雜(zá)性又(yòu)₽≥ 呈現(xiàn)出持續走高(gāo)的(de)态勢，而相(xiàng)關☆ק攻擊活動也(yě)在規模、技(jì)術(shù)水(shu£±ǐ)平乃至頻(pín)率方面愈發驚人(rén)。除此之外(wà♥​↕i)，随著(zhe)大(dà)型網絡運營商的(de)快(kuài)速發展，α>他(tā)們的(de)基礎設施與龐大(dà)客戶群體(tǐ)必α↕然帶來(lái)更多(duō)切入點與帶寬聚合機(jī)εε制(zhì)，這(zhè)種規模可(kě)觀的(de)攻擊面也(yě)>↓₩β使其成為(wèi)DDoS破壞活動的(de)最佳對(du±₹ì)象。考慮到(dào)上(shàng)述趨勢，目δ♦↔前我們要(yào)想真正抵禦住愈發複雜(€©zá)的(de)DDoS惡意活動，關鍵在♥$于利用(yòng)專項技(jì)術(shù)成果£♣§建立起更理(lǐ)想的(de)經濟模式，從(≤ ₹βcóng)而在應對(duì)攻擊的(de)同時(shí)幫助₹☆ 這(zhè)類服務方案獲得(de)新的(de)營收≠ ≠<獲取途徑。
在過去(qù)十年(nián)當中各類先進應對(d±↔→uì)技(jì)術(shù)開(kāi)始δ←不(bù)斷湧現(xiàn)，而在對(duì)抗DDoS演進威脅的(deφ&>)同時(shí)，創新型保護、高(gāo)水(shuǐ)平可(kě)視<↑(shì)化(huà)處理(lǐ)以及可(kě)擴展部署選項也(yě)在成♦<為(wèi)足以依憑的(de)新興技(jì)術(shù)手↓§段。在互聯網或邊界以及對(duì)等點處部 ↕βφ署的(de)應對(duì)技(jì)術(shù'£)讓服務供應商能(néng)夠更為(wèi)主動地(dì)應對(du•±®ì)高(gāo)頻(pín)度、高(gāo)危害攻擊活動，而這(γΩzhè)一(yī)切也(yě)開(kāi)始成為(wèi)我 ≠≥×們解決DDoS的(de)前提性因素。另外(wài)，許多(duō£‍™ )服務供應商在采用(yòng)分(fēn♦‌∞)流通(tōng)道(dào)方案的(de)同時(shí)，還(hái)會(δ↑huì)利用(yòng)出色的(de)可(kě)視(shì)化(hu₽∏∑×à)工(gōng)具探查流量模式，并借此了(le)解是(£★γ₹shì)否需要(yào)針對(duì)持續增✔£長(cháng)的(de)流量進行(xíng)帶寬升級。

DDoS防護方案與實時(shí)威脅響應

舊(jiù)有(yǒu)方案的(de)弊端在 π于：緩慢(màn)的(de)反應速度、昂貴的(d×α±e)維護成本且無法跟上(shàng)不(bù)斷變化(huà)及進步的( ↓de)實際威脅。而這(zhè)一(yī)切  '♠都(dōu)在提醒我們，隻有(yǒu)即時(shí)反應能(néng)力才•&是(shì)适合當前需要(yào)的(d₩σ✘e)最佳應對(duì)手段。很(hěn)明(mí♠✘ng)顯，解決方案本身(shēn)還(hái)需要(yào)具備适₽붕應性與可(kě)擴展性，從(cóng)而快δ&(kuài)速、經濟且高(gāo)效地(dìα')解決那(nà)些(xiē)當下(xià)已有(y&↑ǒu)以及未來(lái)可(kě)能(néng)出¥♣" 現(xiàn)的(de)DDoS攻擊活動。

就(jiù)目前來(lái)看(kàn)，動态內(nèi)聯DDoS防護∞÷$✔帶寬許可(kě)已經成為(wèi)日(rì)趨α∞≈流行(xíng)的(de)解決辦法。在這(zhè)項技(✘✔jì)術(shù)的(de)支持下(xià)，內(nèi)聯DDoS防¶✔β護引擎能(néng)夠切實發揮作(zuò)用(yòng)，而運營商≥↕則隻需要(yào)承擔被實際化(huà)解的(d↓¶¥e)DDoS流量所占用(yòng)的(d Ωγe)帶寬資源成本。這(zhè)類方案的(de)優勢在于‍↕​其能(néng)夠為(wèi)網絡內(nè₹γi)各個(gè)受到(dào)DDoS影(yǐng)響的(de)位置∞₹Ω提供全面的(de)邊緣保護機(jī)制(zhì)，這(zhè)✘¥ 種極具針對(duì)性的(de)特質使其擁有(yǒu)遠(yuǎn)低¶✔ (dī)于傳統方案的(de)使用(yòng)成本。另外(wài)這(zh§↕è)類工(gōng)具能(néng)夠在不∑£(bù)需要(yào)人(rén)力幹預的(de)前提下(xi•™≠à)自(zì)行(xíng)完成取證工(gōng)作(zuò)，≠♠π同時(shí)以不(bù)間(jiān)斷方式進行(xíng)威脅活動提示與網♠​‌絡信息取證。


而DDoS防護工(gōng)作(zuò)的(de)另一(yī)↓♥π 類思路(lù)則在于安全事(shì)件(jiàn)報(bào)告。作✔<(zuò)為(wèi)傳統DDoS應對(d↕↓uì)中心的(de)最大(dà)軟肋所在，其需要(yào•σ)高(gāo)度依賴于邊緣網絡的(de)流量樣本以檢測₽₽∏當前攻擊活動。DDoS攻擊者們當然也(yě)意識到¥✘∏(dào)了(le)此類解決方案的(de)弊端所在，并想盡辦法對(duì)β₩ ≠自(zì)身(shēn)技(jì)術(shù)進行(xín₹δ​÷g)修改以回避相(xiàng)關檢測。隻要∏∑±(yào)流量未達到(dào)預設的(de)阈值∑→，攻擊流量就(jiù)永遠(yuǎn)不(bù)會(huì)被重新定向♠¥>至清理(lǐ)中心。考慮到(dào)這(zhèα )一(yī)點，我們的(de)實時(shí)安全狀态其實取決于自(zì)身÷♦'€(shēn)環境對(duì)安全事(shì)件(jiàn)進行(x•♣™íng)可(kě)視(shì)化(huà)處理(lǐ)的(de)能(né®♣ng)力。而需要(yào)依賴于流量采樣的(de)解§&φ¥決方案甚至無法檢測到(dào)—&m♥®≤dash;更不(bù)用(yòng)說(shuō)切實應對(duì)& ‌mdash;—技(jì)術(shù)水(↕≤₹↓shuǐ)平日(rì)益提高(gāo)的(de)現(xiàn)代≤ εDDoS攻擊手段。要(yào)成為(wèi)一(yī)套強大(dà)的←≠♣£(de)現(xiàn)代DDoS解決方案，其必須能(néng)夠同時(sα₹♥hí)對(duì)DDoS事(shì)件(✘↔÷≠jiàn)進行(xíng)可(kě)視(shì)化(huà)且根據實際狀況∞←​實現(xiàn)長(cháng)期趨勢分(fēn)析，并據此交付對(duì‌™∞)應的(de)主動檢測與防護技(jì)術(shù)成果。

新型軟件(jiàn)與硬件(jiàn)方案的(de)不(bù)斷湧現↑λ(xiàn)讓實時(shí)響應成為(wè γ≠i)可(kě)能(néng)，這(zhè)主要♠↓(yào)是(shì)因為(wèi)來(lái)自(zì)¥δσ↑DDoS攻擊者的(de)流量通(tōng)常呈現(xiàn)出鐘(z™δhōng)形曲線。他(tā)們之所以選擇這(zhè)種方式，是(shì)為(w¶'♥•èi)了(le)盡可(kě)能(néng)回避基于樣本的(de)異常狀況™®♥ 探測機(jī)制(zhì)的(de)識别，否則其惡意λ¥活動将被當即屏蔽。然而新型解決方案中的(de)現(xià♦α₽←n)代化(huà)數(shù)據分(fēn)析機(jī)制(zhì)能(nén♥​∞‌g)夠在系統關鍵性阈值未被觸及之前就(jiù)搶先檢測到(dào)DDoS活®∏動。

因此，企業(yè)将不(bù)必将DDoS&¶δ$視(shì)為(wèi)一(yī)種無法徹底避免的(σ∞de)安全風(fēng)險。相(xiàng)較于自(zì)行&÷>‌(xíng)承擔後果或者由服務供應商協助解決，如(§>∞rú)今企業(yè)客戶已經能(néng)ε®夠采購(gòu)相(xiàng)關技(jì)術(shù)方案并阻斷攻≥★®擊活動，從(cóng)而顯著降低(dī)由此引發的(de)停機(jī)事(shλ↔ ì)故所帶來(lái)的(de)高(gāo)昂成本。