DDoS攻击通过分布式的源头针对在线服务发起的网络消耗或资源消耗的攻击,目的是使得目标无法正常提供服务。DDoS攻击主要针对一些重要的目标,从银行系统到新闻站点,而它之所以一直令人头疼在于如何在遭受攻击时仍然能够对用户提供正常服务。
笔者偶然间看到一个全球可视化的DDoS攻击地图:Digital Attack Map,这个项目是源于Google Ideas和Arbor网络的合作,通过展现匿名的攻击数据向用户提供历史性的攻击数据和报告。
Digital Attack Map的FAQ中简述了该地图的数据来源和数据解释,笔者毫不蛋疼地翻译了下供大家参考:
数据
攻击数据从哪里来?
Digital Attack Map展现的数据是由Arbor网络ATLAS全球智能威胁系统搜集和发布。ATLAS通过分布在全球的270家以上的ISP客户寻求数据,当然这些ISP客户同意分享匿名网络通讯数据和攻击统计数据。这些数据每小时更新一次,也可以在Arbor的ATLAS威胁入口中找到。
攻击数据的全面性如何?
因为流量属性的变化和监测范围的问题,不太可能在线展现完整的攻击情况。尽管Digital Attack Map的数据来自可用的最完整的数据集之一,但它仍然是不全面的地图。在Arbor网络观测的数据中可能有未经确定的或非活跃攻击的数据,还有可识别的攻击中有高威胁趋势的数据。
为什么我看不到攻击者或目标站点的信息?
Digital Attack Map是一个展现全球流量攻击活跃程度的工具,它搜集的数据均是匿名的,并不包含在任何特定攻击中可识别的攻击者或受害目标的信息。
攻击来源国家是否意味着就是攻击者所在的位置?
通常不是。攻击来源可以(经常如此)伪造成显示在一个不同的位置发起攻击,准确的说,是通常显现的是僵尸网络中一台受感染主机的位置。
拥有高速宽带的国家通常是建设僵尸网络的首选,所以攻击流量常常看起来是来自这些国家,尽管僵尸牧人实际的位置是在世界上的另一个地方。攻击目标也可以被篡改,当然这很少见。
可视化
什么是长廊(Gallery)?
长廊页面是根据过去某一天的新闻事件在其同一时间展现的活跃攻击的流量数据快照。
能通过新闻事件的结果在地图上看出攻击活跃度么?
新闻结果地图仅仅在时间上相关联。这些新闻是通过常规的页面搜索得来,并不一定和地图上看到的活跃度相关。绝大多数的DDoS攻击是不会通过媒体报道的,如果一个报道在攻击发生之后的数天才被发表,那它就不会出现在新闻区域。
用来创建地图的资源是什么?
地理信息是从D3和topojson库中获取,并用它们来创建具有可视化数据的地图。
阻止攻击
个人站点怎样保护他们自己抵御DDoS攻击?
为了保护你的网站,你需要能够阻挡或吸收恶意流量。网站管理员可以和主机提供商咨询DDoS攻击保护的事宜,也可以通过口碑不错且提供分布式缓存帮助过滤恶意流量的第三方服务引导入站流量,以降低Web服务的压力。大多数这样的服务都需要支付费用,但相比你自己解决DDoS攻击绝对要划算的多。
Google Ideas已经发起了一项新计划:盾牌计划,通过使用Google的基础设施帮助独立站点缓和DDoS攻击流量来支持自由网络言论(Free expression online)。
主机提供商、ISP和大型机构能够做什么来保护他们的网络?
现在有许多产品和服务能够保护大型网络抵御DDoS攻击和避免网络资源被用来放大攻击。提供可视化数据的Arbor网络也提供有一系列DDoS减灾服务,想知道更多可以访问arbornetworks.com。
有世界通行的最佳实践来减轻DDoS攻击的影响么?
通过许多为改善网络环境的利益相关者不懈的通力合作,一些努力能够帮助降低DDoS攻击的影响。
比如,十年前互联网工程任务组的网络工作组发布了一份BCP38(也叫RFC 2827)标准作为最佳实践的参考,帮助ISP和主机提供商过滤虚假IP地址,以降低发生在他们自己或其他网络的DDoS攻击的影响。不幸的是,仍然有许多ISP未实施这些最佳实践,也妨碍了他们通过为更广泛网络社区提供服务而获得的好处。