僵尸网络主导的DDOS攻击在全球大有愈演愈烈之势,在国内也不例外。Arbor Networks针对DDOS攻击出现的一些新趋势,提出了深度包检测、可视化流量分析等复合型电信级清洗策略。
近年来,僵尸网络已经变得越来越庞大和复杂,不断滋生垃圾邮件、网络钓鱼和身份盗用等网络犯罪。电信运营商的利益也在受到僵尸网络的侵害,由僵尸网络发起的DDOS攻击持续威胁着电信级网络的性能与安全,给运营商带来直接或间接的经济损失。
DDOS攻击加剧
DDOS攻击被设计用来淹没目标网络,从而使得受害企业无法处理合法的请求;在DDOS的多种表现形式中,运营商最多看到的症状是流量拥塞和带宽消耗,而不是应用资源出现问题。在过去的几年时间里,运营商普遍完成了骨干基础网络的新一轮投资和升级,10Gbps成为了各运营商网络传输能力的普遍水平,而40G技术也正在逐步商业化。在这个过程中,DDOS给业界带来的困扰也在增加。
Arbor Networks联合创始人及CTO罗马伦博士指出,自2000年以来,针对电信运营商的DDOS趋于复杂,中级“业余”攻击和多达数十Gbps的“专业”攻击之间的分化越来越明显,“专业”攻击的危害也变得越来越大;在2008年已知的DDOS攻击中,最大规模达到42Gbps,俨然跟随并超越基础网络传输能力的增长幅度。
僵尸网络对我国网络安全的影响正在日益扩大。记者从国家计算机网络应急技术处理协调中心了解到,2008年7月至8月CNCERT/CC对僵尸网络活动状况的抽样监测结果显示,国内外累计2797个IP地址(中国大陆有533个)对应的主机被作为僵尸网络控制服务器,这些IP在中国均有访问和活动;累计302519个位于中国大陆地区的IP被僵尸服务器所控制;中国大陆地区有170748个IP地址对应的主机被境外控制者植入木马,秘密控制我国大陆计算机的IP绝大多数来自我国台湾和美国。
僵尸网络威胁3G互联网
僵尸网络除了滋生DDOS攻击,也是当前蠕虫、恶意代码等应用层攻击的罪魁祸首;而DDOS攻击与应用层攻击、恶意代码等正呈现出结合的趋势。罗马伦指出,DDOS攻击正在逐渐分化为两种模式,一种是大于10Gbps流量的暴力式带宽侵占,表现为非面向连接的洪水流量大肆堵塞网络通路;另一种攻击可能对带宽的侵占并不高,但却是一种基于HTTP和SIP协议或者用户DNS的应用级流量攻击,它所带来的危害性会更大。记者了解到,目前中国移动只部署有过滤垃圾短信这种传统无线业务的网关设备,尚未对移动互联网的到来做好骨干流量和城域网流量管控、清洗方面的准备。3G在中国商用和无线互联网的搭建将进一步加剧DDOS带来的风险。由于国内移动运营商如中国移动在2G时代不用面对DDOS攻击的问题,因此其在DDOS防范和流量清洗方面的经验几乎为零。而当3G商用,智能化终端和宽带化3G网络会与互联网接轨,而无线互联网内部也将互联网化,传统互联网面对的诸多安全问题,如DDOS攻击、蠕虫等,也将陆续出现在无线互联网的城域网中。这将会使缺乏固网DDOS防范经验的中国移动面临巨大挑战。
多手段组合的手术式清洗
采用多手段组合的流量清洗策略,是电信运营商应付DDOS攻击的现实策略。罗马伦认为,如果DDOS攻击来源的IP地址可以确定,攻击就应该被阻断在源头上;但更多的情况是电信运营商无法锁定攻击的源头,这种情况下可以应用路由策略来减少攻击的通路,通过执行单播反向路径转发的路由器策略来实现。此外,根据DDOS攻击类型的不同,采用同步代理等防御技术也可以发挥重要作用;而对于不同级别的DDOS攻击,其流量也可以通过DPI设备进行过滤,整型限速到运营商可以接受的流量水平。
Arbor Networks正在尝试将这些先进的流量清洗策略整合到一套单独的、易于管理的系统中去。Arbor PeakflowSP和PeakflowSP威胁管理系统(TMS)是Arbor Networks的旗舰产品。通过使用ArborPeakflowSP和PeakflowSP威胁管理系统(TMS)组合,电信运营商可以检测出攻击流量并对其实施精确的手术式清洗,从而保证合法的业务流量不受影响。在阻断攻击流量之后,网络运维人员可以便捷地为客户和部门管理层生成清洗过程详细报告。
记者了解到,目前,中国电信已经部署了3套PeakflowSP系统,共19台设备,而原中国网通也已部署1套系统,共10台设备。以中国电信为例,在中国电信看来,网络的安全与操作性能是中国电信开展所有工作的基础,中国电信之所以选择Arbor Networks是因为其已证实的提供融合了流量工程和容量规划的网络可视性化和安全性的能力,这使中国电信能够预先规划网络发展,评估互联网对等关系并降低传输成本