無(wú)論你有沒(méi)有注意到���,被稱為分布式拒絕服務(wù)(DDoS)攻擊的數(shù)字襲擊�����,經(jīng)常發(fā)生�。企業(yè)�、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施,還有大學(xué)及政府機(jī)構(gòu)之類其他大型目標(biāo)�����,時(shí)常遭到此類攻擊�����。甚至某種程度上說(shuō)�,被DDoS是常態(tài)�����。
互聯(lián)網(wǎng)更為廣闊的其他部分���,沒(méi)處在DDoS所致網(wǎng)絡(luò)崩潰常態(tài)的唯一原因,是有第三方公司在提供DDoS防護(hù)服務(wù)��。這些服務(wù)對(duì)防衛(wèi)客戶大有助益�����,但也有其自身短板�。隨著攻擊規(guī)模上升,服務(wù)價(jià)格往往水漲船高���,而且如果攻擊過(guò)于龐大����,提供商甚至還會(huì)紛紛撤出防御服務(wù)��。
Cloudflare CEO 馬修·普林斯
但是�,上個(gè)月底,DDoS防御廠商Cloudflare,從其防護(hù)產(chǎn)品中撤銷了按比例收取的費(fèi)用�����。其新的“無(wú)限制緩解”計(jì)劃�,意味著購(gòu)買了Cloudflare其他服務(wù)的客戶,在遭受DDoS攻擊時(shí)將不再面臨額外繳費(fèi)的風(fēng)險(xiǎn)��,且使用Cloudflare免費(fèi)產(chǎn)品的客戶也將享有不受限的DDoS防護(hù)��。
Cloudflare首席執(zhí)行官馬修·普林斯稱:“我們的網(wǎng)絡(luò)已成長(zhǎng)到無(wú)懼面對(duì)互聯(lián)網(wǎng)襲來(lái)的大型DDoS�。在見(jiàn)識(shí)過(guò)全球各地的攻擊并加以緩解之后����,我們確信自己可以為任何人帶來(lái)這項(xiàng)服務(wù)。這是互聯(lián)網(wǎng)無(wú)可避免的走向�����。”
該舉措符合DDoS防御的長(zhǎng)期愿景���。只要每個(gè)人��,不僅僅是Cloudflare客戶��,都享有免費(fèi)無(wú)限制DDoS防護(hù)�����,此類攻擊將不再那么容易得逞����,最終只會(huì)走向絕跡。Cloudflare讓其防護(hù)廣為可用且不收取額外費(fèi)用的做法值得肯定���。但全面阻止DDoS所需的�����,不能僅僅是這一步��。
城堡保衛(wèi)戰(zhàn)
盡管大部分DDoS攻擊被挫敗���,依然有大量攻擊確實(shí)破壞了網(wǎng)站和服務(wù)的穩(wěn)定。比如說(shuō)�����,2016年9月安全博主克雷布斯的網(wǎng)站�,就遭到了峰值流量高達(dá)620Gbps的DDoS攻擊�。
最初為該網(wǎng)站提供免費(fèi)防護(hù)的阿卡邁公司�,在面對(duì)卷入了全球大量物聯(lián)網(wǎng)設(shè)備的大規(guī)模僵尸網(wǎng)絡(luò)攻擊時(shí),決定撤出其防護(hù)服務(wù)���,讓克雷布斯的網(wǎng)站直接被DDoS踢下線���。一周后,法國(guó)Web托管公司OVH遭到峰值流量達(dá)1.1Tbps之巨的罕見(jiàn)超大規(guī)模DDoS攻擊���。
這種規(guī)模的攻擊的出現(xiàn)���,讓Cloudflare的通告看起來(lái)有些令人吃驚。但是����,普林斯決定�����,他的公司在技術(shù)和財(cái)力上��,都達(dá)到了可以做出這種承諾的位置�。Cloudflare的基礎(chǔ)設(shè)施采用了相對(duì)容易買到的現(xiàn)成產(chǎn)品�����,可以按需全球部署����、設(shè)置�、維護(hù)、置換��,也就是說(shuō)�����,可以快速高效地?cái)U(kuò)展���。該公司目前運(yùn)營(yíng)著117個(gè)數(shù)據(jù)中心�����,擁有理論上15Tbps的DDoS防御能力;如果需要����,可以幫助多家客戶抵御OVH級(jí)別的大型DDoS襲擊��。
Cloudflare是否能實(shí)際承擔(dān)起該負(fù)載——財(cái)力和技術(shù)兩方面,我們尚未可知�����,尤其是在需要防護(hù)的客戶數(shù)量可能增加的情況下��。而且�����,因技術(shù)限制而不得不停止防護(hù)客戶的失敗后果����,可能也會(huì)令該公司蒙羞,對(duì)其受影響客戶造成潛在嚴(yán)重后果�。(撤出防御有時(shí)候不止是嚴(yán)格意義上的技術(shù)問(wèn)題;8月,Cloudflare做出了一個(gè)有爭(zhēng)議的決定:停止保護(hù)白人至上主義網(wǎng)站The Daily Stormer�,致其立即掉線。)
普林斯對(duì)此泰然自若���。“我們從每一次攻擊中學(xué)習(xí),攻擊越多��,我們?cè)綇?qiáng)大����,越能夠保護(hù)我們網(wǎng)絡(luò)上的每一個(gè)人����。我們完全預(yù)測(cè)到了����,隨著該通告的發(fā)布,會(huì)有更多遭受DDoS攻擊的人訂閱我們���,但那只會(huì)讓Cloudflare的服務(wù)隨時(shí)間進(jìn)程而更加智能�����。”
如果一切照計(jì)劃進(jìn)行���,獲益的將不僅僅是Cloudflare。普林斯補(bǔ)充道�,公司真心設(shè)想過(guò)將該舉措作為一個(gè)范例,希望免費(fèi)DDoS防護(hù)能很快成為行業(yè)標(biāo)準(zhǔn)�����。
我們希望這能成為默認(rèn)設(shè)置�����,不僅僅是Cloudflare,而是整個(gè)行業(yè)����。如果這一切真的發(fā)生,那整個(gè)行業(yè)就有機(jī)會(huì)撲滅DDoS這種威脅了����。
總體防御
全行業(yè)范圍內(nèi)的推動(dòng)可以滅絕DDoS的概念,其實(shí)已經(jīng)流傳幾年了���。谷歌Project Shield就是該想法的倡導(dǎo)者��,為新聞���、人權(quán)和選舉監(jiān)測(cè)網(wǎng)站提供免費(fèi)DDoS保護(hù)。早在去年�����,負(fù)責(zé)監(jiān)管Project Shield的谷歌母公司Alphabet旗下孵化器Jigsaw總裁杰瑞德.科恩����,就曾表示:“我們認(rèn)為DDoS不應(yīng)該存在。我們希望Shield能像Gmail對(duì)抗垃圾郵件一樣打敗DDoS攻擊�����。”
DDoS防御真的可以朝這個(gè)方向發(fā)展�����。歐美的一些大型互聯(lián)網(wǎng)服務(wù)提供商��,已經(jīng)開(kāi)始計(jì)劃或默默推出標(biāo)準(zhǔn)DDoS防御�,作為維護(hù)自身網(wǎng)絡(luò)監(jiān)控和避免大型攻擊連帶傷害的一種方式。但Cloudflare是第一家高調(diào)承諾為所有客戶提供免費(fèi)防護(hù)的公司�。這是非常重要的一步,但全行業(yè)集力鎮(zhèn)壓DDoS還有很長(zhǎng)的路要走�。不過(guò),這一天終會(huì)到來(lái)�。
DDoS及網(wǎng)絡(luò)安全公司Arbor Networks首席工程師羅蘭·多賓斯稱:“多年前就有預(yù)測(cè)說(shuō),隨著對(duì)DDoS攻擊認(rèn)知的增加�����,越來(lái)越多的終端客戶將堅(jiān)持DDoS應(yīng)作為基本要求��,而不僅是收取高昂費(fèi)用的附加服務(wù)。如今我們看到了實(shí)際操作的例子�����,這是很重要的一個(gè)發(fā)展�。但除非被廣泛部署——當(dāng)然這不太可能,我們就仍將不斷看到DDoS攻擊四處開(kāi)花���。”
專家們認(rèn)同���,低價(jià)或免費(fèi)的標(biāo)準(zhǔn)化DDoS防護(hù),可為客戶提供有價(jià)值服務(wù)��,并幫助修整整個(gè)威脅態(tài)勢(shì)��。但多賓斯和其他專家也警告���,Project Shield和Cloudflare提供的此類DDoS防護(hù)����,無(wú)論發(fā)展得有多廣泛��,也不能完全清除掉DDoS����,因?yàn)樗鼈冡槍?duì)的只是某些類型的攻擊���。”
新品種
Project Shield、Cloudflare和其他DDoS防護(hù)�����,基本上是代表其客戶接收Web請(qǐng)求的“反向代理”��,評(píng)估并過(guò)濾請(qǐng)求以消除惡意流量��,然后轉(zhuǎn)發(fā)安全請(qǐng)求����。反向代理還會(huì)采取緩存客戶網(wǎng)站的辦法����,不觸動(dòng)客戶系統(tǒng),自行響應(yīng)某些請(qǐng)求�。這些措施在客戶和潛在惡意黑客之間構(gòu)筑了緩沖帶;DDoS攻擊中,代理承擔(dān)了大部分攻擊流量負(fù)擔(dān)����。
該設(shè)置可以很好地對(duì)付直接攻擊,但不是真正意義上通用的DDoS防護(hù),也無(wú)意這么宣稱�。如果攻擊者DDoS互聯(lián)網(wǎng)基礎(chǔ)設(shè)施組件,比如互聯(lián)網(wǎng)底層的DNS路由系統(tǒng)��,那么即便商業(yè)或機(jī)構(gòu)性服務(wù)不宕機(jī)����,連接也會(huì)中斷。去年秋天����,互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司Dyn就遭到了此類攻擊,其DNS服務(wù)器被拿下���。Dyn在其他基礎(chǔ)設(shè)施公司特別小組的幫助下對(duì)抗該攻擊時(shí)�����,多個(gè)流行站點(diǎn)經(jīng)歷了各種各樣的間斷性服務(wù)掉線�。
DDoS問(wèn)題��,是互聯(lián)網(wǎng)底層架構(gòu)基本上可被濫用的結(jié)果���。
另外�����,由于DDoS更多的是一種概念而非特定具體方法���,攻擊者不斷探索新的方式����,利用垃圾數(shù)據(jù)或請(qǐng)求來(lái)讓不同渠道過(guò)載�����,讓合法請(qǐng)求很難通過(guò)��。
去年10月���,一名黑客散布Java腳本漏洞利用,協(xié)同了約1000臺(tái)智能手機(jī)和平板電腦——基本上構(gòu)成了電話僵尸網(wǎng)絡(luò)����,連續(xù)撥打911報(bào)警電話,阻塞了911線路����,讓真正的報(bào)警電話無(wú)法撥入����。
還有些數(shù)字襲擊�,被稱為應(yīng)用DDoS攻擊的,就利用少量垃圾數(shù)據(jù)�,有效創(chuàng)建分層系統(tǒng)中的級(jí)聯(lián)請(qǐng)求,像免疫系統(tǒng)疾病一樣利用自身功能摧毀自身��。攻擊者還可以通過(guò)在防護(hù)不嚴(yán)的私營(yíng)企業(yè)“內(nèi)網(wǎng)”上訓(xùn)練他們的垃圾數(shù)據(jù)大炮��,來(lái)引發(fā)破壞�����。
丹·梅西��,DNS安全公司Secure64首席科學(xué)家��,前美國(guó)國(guó)土安全部(DHS)DDoS防御研究員���。他表示:“沒(méi)人會(huì)說(shuō)大型互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司向其客戶提供免費(fèi)DDoS防護(hù)不好�。這是個(gè)很不錯(cuò)的想法�,能緩解很多攻擊。但它幫不了的服務(wù)和情況也有那么幾類����。而且即便是相當(dāng)大的反向代理提供商�����,也會(huì)遭遇武器不足的窘狀�。”
于是�����,Cloudflare這樣的反向代理提供的通用DDoS防護(hù)�,能改善互聯(lián)網(wǎng)安全狀況嗎?那是肯定的。而且���,如果業(yè)內(nèi)其他廠商跟進(jìn),情況會(huì)更好�。但這一舉動(dòng)能否讓DDoS完全絕跡呢?不太可能。
