DDoS之殇拷问防御能力(全文)

开篇：润墨网以专业的文秘视角，为您筛选了一篇DDoS之殇拷问防御能力范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

隐藏在分布式拒绝服务攻击（简称ddos）背后的攻击动机已经从单纯的经济利益转变为具有社会性和政治动机的，针对政府、媒体、甚至是企业的活动。隐藏利益的巨大，导致DDoS攻击在近期爆发不断，警惕DDoS带来的“网络战”，了解最新的DDoS攻击动态，并学习隔阻攻击，是一项迫不及待的任务。

开放DNS解析器引发最强攻击

据外媒体报道，从3月18日开始，到3月28日结束，欧洲反垃圾邮件组织Spamhaus经历持续10天的阻断式服务攻击（DDoS），此次攻击主要通过开放的DNS解析器，流量从一开始的10Gbps、90Gbps，逐渐扩大至300Gbps，成为网络史上最严重的一次DDoS攻击，差点致使欧洲网络瘫痪。

据了解，Spamhaus是因为把垃圾邮件用户Cyberbunker纳入黑名单后遭受其报复攻击行动。整个过程是这样的，从第一天起他们便发现黑客主要通过开放的DNS解析器进行攻击，第一天的攻击流量只有10Gbps，第二天的攻击高峰达到 90Gbps，第三天则维持在30Gbps至90Gbps之间，然后黑客休息了一天。3月22日，黑客再次展开攻击，攻击流量达到120Gbps，从规模来看已是最大的DDoS攻击行动之一，但随后黑客改变策略，不再直接攻击Spamhaus，而是转为锁定CloudFlare的带宽供货商。

全球网络依赖各个不同网络间主动串起的连结，像是Google、Yahoo等大型企业或是AT&T等带宽供货商之间的连结，以及各地所建立的网络交换中心（Internet Exchange，IX）。CloudFlare即与不同的网络及IX保持链接。当黑客知道就算以100Gbps的攻击流量都无法击溃CloudFlare时，他们转而攻击CloudFlare的多家ISP，攻击流量甚至超过300Gbps，并使得这些第一层的ISP开始出现拥挤与速度变慢的现象。黑客还攻击了欧洲某些城市设置的IX，这也是导致欧洲最近网络变得断断续续的主因。

CloudFlare方面则认为，此轮攻击的最大问题还是在开放的DNS解析器。开放的DNS解析器能够允许任何人传送 IP地址来解析域名，但逐渐被DDoS所利用，恶意人士可伪装自己为攻击目标网站，然后传送要求至这些开放DNS解析器，以DNS解析器回传的大量数据来瘫痪目标网站，早就成为资安用户眼中的安全漏洞。

相较于传统的DDoS以效能及网络资源相对有限的僵尸计算机作为攻击媒介，开放DNS解析器通常使用更高效能的服务器而且也有更大的带宽，所能造成的破坏也相当惊人。此次的DDoS攻击只利用了超过10万个开放的DNS解析器，但现在网络上有问题的开放DNS解析器数量多达2500万个。

DDoS攻防市场巨大

欧洲遭遇史上最强的DDoS攻击似乎只是刚刚开始，这一类型的攻击将成为网络攻击的主流。而市场调查公司IDC近期了一篇名为“全球攻击防御产品和服务2013-2017年预测”的研究，据公布，分布式拒绝服务（DDoS）攻击和DoS攻击防御解决方案市场在2012年到2017年间预计将增长18.2%，达到8.7亿美元的开支。

该报告预测称，最常见类型攻击类型仍然是“流量型”拒绝服务攻击。根据IDC的安全产品方案的研究经理John Grady所说：“攻击者将‘流量型攻击’作为常用的攻击策略侵占带宽来攻击IT基础设施。”

在过去的十年中，“流量型攻击”是最为常见的攻击，而在过去一周所看到的大量攻击都是建立在“流量型攻击”为基础上的。 Grady告诉我们，他所指的正是上周广泛影响全球互联网用户的那轮DDoS攻击。

在本次事件中，CyberBunker，一个总部位于荷兰的虚拟主机，被指控对Spamhaus发动DDoS攻击，由于一个非营利性的反垃圾邮件列入黑名单——它们最终成长为世界上最大的同类的攻击并以此作为报复，破坏者利用每秒涵盖300千兆字节的流量来进行攻击。

“除了流量型攻击，攻击者也会使用传统手段来攻击网站。”Grady说，利用消耗更少的带宽，或者利用加密的流量对应用层进行攻击正变得越来越普遍。

他表示：“攻击是很难发现的，因为他们更好地模仿了合法流量。”Spamhaus的CyberBunker事件也让我们增加了对概念的认知，因为任何人都可以相对容易来发动DDoS攻击的目标。一个广为人知的例子是进入秋季以来对美国银行网站上进行的攻击。

DDoS攻击防护公司Prolexic在12月了一份报告，宣布在2012年第三季度与2011年同期在总人数的DDoS攻击上相比增加了88%。

体系化防御DDoS“网络战”

在具体的DDoS攻击中，特别要重视针对国家的“网络战”风起云涌。迈克菲实验室最近的一份报告指出：“国家和军队将越来越频繁地参与网络战，并成为受害者。”今天，面对复杂多变的国际形式，“网络战”不再是传说，已经实实在在的发生在我们身边，捍卫虚拟网络空间已经上升到国家级备战的高度。

在网络战中，DDoS攻击始终充当先锋，大量由黑客组织甚至是“敌对”国家发起的DDoS攻击，造成了巨大经济损失和极坏的不良影响，防御DDoS攻击成为电信、政府、金融、能源、电商等需要对互联网提供服务的组织的必选项，必须加以重视，构建有效防御措施。

针对DDoS攻击，需采用体系化防御的思想，我们以网御星云的抗DDoS解决方案为例，描述如何构建监控、管理、清洗三位一体的抗DDoS防御工事，方案如下图所示：

该防御体系由三个独立但又相互互动的系统构成：

A.异常流量监控检测系统：实现全网异常流量的实时监控，并通过智能基线模型及时发现和定位DDoS攻击，分析数据上报管理系统；

B.异常流量管理系统：接收并监控检测系统的数据，进行全局的关联分析，全网掌控DDoS态势，并根据清洗系统的部署位置，合理调度清洗系统，下达清洗策略；

C.异常流量清洗系统：接收清洗指令，实现网络流量牵引、清洗和回注，深度筛选攻击数据包，消灭DDoS攻击。

通过部署DDoS防御体系可以实现对DDoS的近源打击，旨在最大限度的保障互联网服务的可用性，提高互联网服务的客户体验度，防止由于断网造成的经济或社会的不良影响，是应对“网络战”的必要措施。

DDoS之殇 拷问防御能力

优秀范文

DDoS之殇拷问防御能力