郑，唯一的网络:分布式拒绝服务的威胁与应对

本篇文章4928字，读完约12分钟

郑，唯一的网络:分布式拒绝服务的威胁与应对 会上，专网副总经理郑出席了国际数据中心服务大会，并在当天的安全运维分论坛上发表了“DDOS威胁与应对”的主题演讲。 中国国际数据中心圈12月28日报道，第11届中国国际数据中心行业年会(IDCC2016)于12月20日至22日在北京国家会议中心隆重举行。在中国信息与通信研究院、发展与政策论坛和联盟的指导下，本次会议由中国国际数据中心行业年会组委会主办，中国国际数据中心圈主办，得到了众多媒体的大力支持。

作为中国云计算和数据中心领域最大、最具影响力的标志性事件，IDC中国行业年会已经成功举办了10次。本次会议的规格和规模都是“上一层楼”，吸引了全部现场人员，其影响力涵盖了数据中心、互联网、云计算等所有领域。

会上，专网副总经理郑出席了国际数据中心服务大会，并在当天的安全运维分论坛上发表了“DDOS威胁与应对”的主题演讲。

郑唯一网副总经理

以下是这次演讲的文字记录:

我今天和大家分享的话题是分布式拒绝服务的威胁和应对。

我将从以下四个方面入手。首先，让我们看看当前的互联网安全形势。据统计，2015年中国国家互联网安全事件的接待量呈现出多年同比增长的趋势。2015年，国家互联网安全中心共收到国内外报告的126，916起互联网安全事件，比2014年增加了125.9%。报告的安全事件类型主要包括网络钓鱼、漏洞、篡改、后门、恶意程序等。可以说，互联网的安全形势越来越严峻。

在这些报道的安全事件中，由于中国互联网用户数量庞大，互联网设备数量众多，安全事件的增长速度将比上一次增长得非常快。在这些安全事件中，DDOS攻击尤其引起了我们的关注。我们可以看到，在2016年前三个季度，中国已经成为世界第二大攻击来源，中国发起了19，024次DDOS攻击。与此同时，我们认为中国是第一梯队的目标国家。

在所有的分布式拒绝服务攻击中，中国受到了世界17%的攻击。在这17%中，我们可以看到游戏是DDOS攻击的主要目标，而其他电子商务、政府和金融都是DDOS攻击的重灾区。

接下来，让我们看看网络安全世界中的野蛮DDOS。为什么我们称DDOS为网络安全世界中的野蛮人？首先，我们看到DDOS攻击的主要动机是恶意竞争、敲诈和报复。其攻击具有速度快、效率高、类型多、隐蔽性强的特点。由于许多攻击来自僵尸网络和网络僵尸，我们很难追踪攻击的来源。DDOS攻击的目的是许多黑客利用DDOS攻击作为掩护，在DDOS攻击的同时入侵各种网站，或者在生产和操作系统的背景下窃取一些关键的生产数据。第二个方面是黑客通过DDOS攻击来展示他们的技术实力。第三个主要目的是通过DDOS攻击来宣传和表达他的政治立场。例如，许多外国很可能在选举过程中遭到黑客攻击，攻击候选人的个人主页、官方网站和活动网站，并通过这些行动表达他们的政治立场。可以说，DDOS攻击非常粗糙。

接下来，让我们再次认识DDOS。它的原理是众所周知的，即分布式拒绝服务攻击。黑客会使用大量的傀儡机和僵尸机向目标发出请求，导致目标的网络出口链拥塞，这与他们因攻击请求而忙得无法向外界提供正常服务是一致的。其攻击的特点是非常容易实现。现在网络上有许多小工具可以免费生成DDOS流量。供应品有多种类型；各种供应手段；源设备多种多样。众所周知，随着互联网的发展，智能终端越来越多。一旦这些设备进入互联网，它们就可以被黑客用来生成DDOS攻击流量。供应来源的数量是巨大的，我们将很难找到来源。

两个月前，我好奇地去QQ注册了一个小号。我到处寻找DDOS攻击的价格。我添加了大约四到五组。这四五个团体在销售DDOS攻击流量。我发现他们攻击的客户确实多种多样。我增加了四到五组，但没有一组是完全相同的攻击方法。你知道价格是多少吗？我记得最便宜的那个每月卖200克，价格超过1000元。CC的价格稍高，但也是几百美元。我们前面提到过，DDOS非常容易实现，而且成本非常低，但是目前它对我们的网络安全具有相当大的破坏性。

接下来，看看DDOS攻击和防御案例。首先，2014年9月，黑客组织的攻击手段被曝光。黑客组织主要通过大规模的DDOS攻击来攻击受害者。这将要求企业通过电子邮件和电话将比特币兑换成赎金。这在当时相对较新，因为比特币刚刚推出一段时间。我们观察到，在攻击期间，DD4BC组织的最大流量为56G，平均流量约为13G。攻击直接导致客户网络瘫痪。瘫痪后，他们会通过社交媒体进行宣传，给公司的声誉和形象造成巨大损失。DD4BC具有非常大的攻击流量。对我们大多数企业来说，进入互联网的带宽只有10万亿或100万亿，但这种流量规模的攻击很容易摧毁这些网站。

针对这种类型的攻击有两种主要的预防措施。要么把服务器放在一个专业的防数据泄露的国际数据中心计算机房里。另一种是购买基于在线一站式平台的防扩散服务。试点企业主要是金融机构，以及初创中小企业和政府网站。

让我们再看看第二个案例。2016年9月，一家著名的国际安全研究机构也遭受了大量DDOS攻击。此时，经过整整两年，流量已经从56G增加到665G，增长了10倍，我们可以看到DDOS的趋势越来越快。当时，这种流量已经创下了CDN服务提供商攻击流量的新纪录。面对巨大的成本和压力，Akamai不得不选择关闭该网站的服务。这种攻击也是典型的DDOS流量攻击。攻击的来源是Mirai未来组合僵尸网络。这个僵尸网络也是目前相对较新的攻击特征。它通过控制互联网上的智能摄像头来产生分布式拒绝服务流量。这是一种非常新的攻击方法。众所周知，许多摄像机现在都在运行，包括政府对安全城市、智能城市和智能城市的宣传。这个城市将会有很多摄影器材。这些设备一安装好，就没人会维修了。只要不坏，没有人会升级这些设备的软件、平台和硬件。一旦黑客入侵这个系统，他们可以控制数万、数千万甚至数亿台摄像机，并通过这些摄像机在互联网上产生DDOS攻击流量。对于这种超大流量攻击，预防措施是在单个节点访问的互联网节点中预先传输足够的互联网带宽资源。其次，我们还可以将业务分散到不同的业务节点，并对每个业务节点进行流量清理，这就相当于分散了业务和清理能力。它就像带保护的CDN功能。适用的企业有政府部门、游戏、电子商务和视频等。

我们想和大家分享的第三个案例是典型的CC攻击案例。2013年，国际知名的Bittorrnet服务器也遭到了CC的大规模攻击。Bittorrnet服务器受到了非常强烈的攻击。这次攻击不同于我前面提到的情况。它不使用流量来破坏服务，而是向目标服务器发送大量请求。这只是请求的流量。它的特点是攻击者消耗很少的资源，但却能对目标造成很大的伤害，有点像四两千两黄金的效果。当时Bittorrnet遭到攻击，每秒只有6000万次请求。Bittorrent服务当时受到很大影响。现在我们看到，CC攻击是一种非常重要且最困难的DDOS攻击。多年的CC攻击和防御经验告诉我们，对CC攻击最有效的防御是通过硬件防火墙和软件反C防火墙进行双重流量识别和过滤。现在，许多互联网安全制造商已经将这两种功能打包在一起，作为一站式安全防扩散服务。政府部门、电子商务、在线金融、游戏、视频和其他网站可能会遇到这种类型的CC攻击。

最后，我想和大家分享一下分布式拒绝服务攻击的发展趋势和对策。随着近年来互联网的发展，尤其是近年来，DDOS攻击在攻击规模、流量和攻击类型等方面都发生了翻天覆地的变化。未来的DDOS攻击将更加严重。我们可以看到，攻击的来源已经从最初的个人电脑设备逐渐扩展到智能设备，包括物联网。攻击源的数量和类型越来越多。攻击手段也在不断更新，实际上越来越难以防范。攻击流量从最初的几个g流量变化到几十个g到几百个g，现在t上的流量攻击也很常见，因为它的攻击代价很低，实施起来也很方便。我们还观察到一个特征，即它的攻击目标已经从单一服务器逐渐转变为互联网的基本服务提供商。当单点服务能力和单点安全防护能力达到一定程度后，黑客会发现攻击效果不是很好，最简单的方法就是将攻击目标转向互联网的基础服务平台。

对于网站，互联网基础设施平台提供域名系统链接。接下来，我将通过几个案例回顾今年发生的两起更重要的域名系统攻击事件。

首先，今年5月，美国的NS1服务器连续10天遭到非常有针对性的大规模DDOS攻击。这种DDOS攻击主要是流量类型的攻击，攻击流量达到每秒6000万个请求。攻击者通过编程发送了一些劫持查询请求。这些查询请求的目标网站不在NS1提供的服务客户端列表中。然而，由于这些请求的数量巨大，黑客通过编程不断发出这样的查询请求，这在一瞬间打倒了NS1.COM。这种攻击也是攻击的来源，它由前面提到的大量物联网设备组成。攻击的流量很大，持续时间长达十天。该攻击针对的是DNS服务器，而不是下面的一个或几个特定网站。这四个攻击源也在东欧、俄罗斯、中国和美国的僵尸网络中不断轮换。因此，可追溯性在当时也造成了很大的困难。

第二个案例刚刚发生，每个人可能仍然有一些印象，即著名的美国网站服务提供商DYN在今年10月遭到了巨大流量的攻击。当时，它遭到了三波高流量的攻击，直接影响了美国整个东海岸的大多数网站，并使美国一半的网络瘫痪。这次的流量攻击超过了1T，超过了上面提到的所有情况。它由一个10万级僵尸网络发起，也由物联网设备组成。攻击流量非常大，对于DNS服务器来说目标非常明确。

我们网站的安全保护有两个重要部分。我们都知道木桶的原理。木桶盛水的能力实际上是由其最短的木板决定的。在网站的安全保护中，有两点非常重要，一是网站自身的安全防范，二是域名系统的安全保护。在域名系统安全保护领域，网络服务提供商实际上已经认识到域名系统的重要性一个多月了，我们还发现近5%的用户已经选择或考虑托管域名。权威的域名解析服务器托管在不同的域名解析提供商上进行备份。主服务器挂起后，我们还可以启用备份DNS域名进行解析。

在当前严峻的互联网安全形势下，作为互联网的最终用户，我们应该如何应对？首先，作为企业用户，我们可以重新控制受感染的设备，并通过重新启动来保护它。作为网站的所有者，应制定备份计划，以确保网站的持续在线和可访问性。作为云服务提供商，应该努力对抗更大的DDOS攻击。作为设备制造商，有必要更加关注设计安全，以确保互联网用户能够轻松使用这些设备访问互联网。

作为互联网安全制造商，还有三个方面需要解决。首先是合作能力的输出。服务器对D+DNS服务的抵抗和对D+入侵检测的抵抗都需要同等重视。这三个方面都需要有效的输出协作能力，并且能够随时处理各种类型的网络攻击。第二个方面是实现对整个网络情况的了解，包括许多安全厂商现在正在做的事情，实现对整个网络攻击和防御情况的了解，监控整个互联网的攻击情况，通过大数据分析了解整体威胁情况，并采取有效的对策。第三个方面是联合建立互联网安全联盟，整合安全链上下游的行业和安全企业，保持生态链的健康和可持续发展，组建安全联盟共同打击黑色产业。

总的来说，作为互联网安全服务的提供者，我们必须有一个一站式的安全服务系统。面对日益激烈的分布式拒绝服务攻击，应对未来不仅是一种T级防御资源，也是协同能力的输出。面对市场上的各种产品，用户的需求不再是单一的产品，而是一系列能为用户解决问题的有效解决方案。

作为唯一的网络，我们也将不断提高和完善自己平台的性能和服务水平。众所周知，唯一的集团有两个重要的子公司，一个是DNS.COM，另一个是DDOS.COM。当时，当美国遭到攻击时，我们写了一篇文章，被域名系统安全圈的每个人都认可。我们唯一的团队将整合上下游资源，包括IDC，并继续扩展IDC资源。我们计划逐步在华东、华北、台湾、香港、欧洲和美国建立网点并拓展业务。同时，我们将继续在中国寻找高质量的安全资源，以互助共赢为核心，为国内企业的互联网信息安全提供强有力的支持。

唯一的网络希望与所有合作伙伴、安全制造商和互联网用户进行深入的讨论和合作，以应对未来互联网上更多的DDOS淫秽内容，共同构建互联网信息安全的核心生态圈！谢谢大家！