DDoS攻击发展历程纵览

到今年万维网才刚刚迎来自己的25岁生日，但在这短短的二十多年当中其已经迎来了无数进步——无论是在理论还是实践层面。然而谈到DDoS攻击，我们会发现这种简单易行且能够一次性实现多项目标的攻击方式直到今天仍然到处肆虐，而且很明显网络世界并没能拿出同样快速发展的手段加以应对。今天的文章针探讨互联网服务供应商及安全厂商应如何缓解此类威胁，并分析技术人员须采取哪些方案对抗这类网络犯罪活动。
DDoS的发展历程

在DDoS攻击刚刚诞生之时（也就是2000年左右），其相关防护技术主要掌握在服务供应商手中，他们专注于利用此类能力检测DDoS攻击的发生。不过当时的检测方式较为粗糙，主要是对边缘路由器进行采样并查询其中的NetFlow记录。在这种情况下，运营商确实能够及时发现由DDoS带来的流量增长，但却几乎没办法真正对此类攻击加以抵御。而且由于没有任何真正可选择解决方案，网络运营商只能首先发布攻击活动通知，而后以手动方式向服务供应商的网络边缘注入无效路由——有时候也被称为黑洞路由——从而进行攻击阻断。这种无效路由足以将指向受害者的全部攻击流利加以屏蔽。


然而这种方案也存在着极为明显的缺陷。无效路由的注入在阻断恶意流量的同时，也会让正常网络流量屏蔽在外。目标受害者会因此彻底陷入离线状态，而这恐怕正是攻击发起方所希望达到的最佳效果——毕竟向受害者IP地址大量倾泻数据包的目的也正在于此。不过必须承认，这种方案至少能够阻止攻击流量，并保护客户或者基础设施免受DDoS攻击其它连带作用的影响。


向后快速推进几年，我们发现针对DDoS攻击的防护机制开始出现长足进步，而运营商们也拿出了革命性的保护技术。很明显，无效路由绝对不是运营商们喜闻乐见的应对办法。从这时开始，当操作人员发现突然出现的流量峰值时，他们不会注入无效路由，而是添加一套新的路由。通过建立这套校报路由，运营商们能够对指向应用或者特定银行设备的流量加以重新定向，并尝试将其中的DDoS攻击流量从正常用户流量中剔除出来。这套方案很快在各DDoS应对中心及DDoS分流通道领域得到普及，而且直到今天仍然发挥着重要作用。


这种DDoS清理办法虽然已经算是种显著改进，但却仍然需要相当程度的人工因素介入其中。首先需要对DDoS攻击进行检测（仍然是通过NetFlow记录分析实现），而后操作人员以手动方式查询受害者的目标IP地址。一旦受害者被确定，BGP路由更新机制会马上介入以注入新路由，从而将指向受害者的流量重新指向至分流通道。分流通道中的设备会尝试将DDoS流量从正常流量当中剔除出去，并将后者继续交付给下游客户。为了能够让正常流量重新回归原始目的地，操作人员在大多数情况下会在分流通道当中创建一条指向客户边界路由器的GRE通道。这种方案虽然较无效路由有了很大进步，但仍然会给运营商网络拓扑结构带来大量复杂性因素，而且需要聘请身价不菲的专业安全人员来确保整个流程得到正确执行。


最近，DDoS的复杂性又呈现出持续走高的态势，而相关攻击活动也在规模、技术水平乃至频率方面愈发惊人。除此之外，随着大型网络运营商的快速发展，他们的基础设施与庞大客户群体必然带来更多切入点与带宽聚合机制，这种规模可观的攻击面也使其成为DDoS破坏活动的最佳对象。考虑到上述趋势，目前我们要想真正抵御住愈发复杂的DDoS恶意活动，关键在于利用专项技术成果建立起更理想的经济模式，从而在应对攻击的同时帮助这类服务方案获得新的营收获取途径。
在过去十年当中各类先进应对技术开始不断涌现，而在对抗DDoS演进威胁的同时，创新型保护、高水平可视化处理以及可扩展部署选项也在成为足以依凭的新兴技术手段。在互联网或边界以及对等点处部署的应对技术让服务供应商能够更为主动地应对高频度、高危害攻击活动，而这一切也开始成为我们解决DDoS的前提性因素。另外，许多服务供应商在采用分流通道方案的同时，还会利用出色的可视化工具探查流量模式，并借此了解是否需要针对持续增长的流量进行带宽升级。

DDoS防护方案与实时威胁响应

旧有方案的弊端在于：缓慢的反应速度、昂贵的维护成本且无法跟上不断变化及进步的实际威胁。而这一切都在提醒我们，只有即时反应能力才是适合当前需要的最佳应对手段。很明显，解决方案本身还需要具备适应性与可扩展性，从而快速、经济且高效地解决那些当下已有以及未来可能出现的DDoS攻击活动。

就目前来看，动态内联DDoS防护带宽许可已经成为日趋流行的解决办法。在这项技术的支持下，内联DDoS防护引擎能够切实发挥作用，而运营商则只需要承担被实际化解的DDoS流量所占用的带宽资源成本。这类方案的优势在于其能够为网络内各个受到DDoS影响的位置提供全面的边缘保护机制，这种极具针对性的特质使其拥有远低于传统方案的使用成本。另外这类工具能够在不需要人力干预的前提下自行完成取证工作，同时以不间断方式进行威胁活动提示与网络信息取证。


而DDoS防护工作的另一类思路则在于安全事件报告。作为传统DDoS应对中心的最大软肋所在，其需要高度依赖于边缘网络的流量样本以检测当前攻击活动。DDoS攻击者们当然也意识到了此类解决方案的弊端所在，并想尽办法对自身技术进行修改以回避相关检测。只要流量未达到预设的阈值，攻击流量就永远不会被重新定向至清理中心。考虑到这一点，我们的实时安全状态其实取决于自身环境对安全事件进行可视化处理的能力。而需要依赖于流量采样的解决方案甚至无法检测到——更不用说切实应对——技术水平日益提高的现代DDoS攻击手段。要成为一套强大的现代DDoS解决方案，其必须能够同时对DDoS事件进行可视化且根据实际状况实现长期趋势分析，并据此交付对应的主动检测与防护技术成果。

新型软件与硬件方案的不断涌现让实时响应成为可能，这主要是因为来自DDoS攻击者的流量通常呈现出钟形曲线。他们之所以选择这种方式，是为了尽可能回避基于样本的异常状况探测机制的识别，否则其恶意活动将被当即屏蔽。然而新型解决方案中的现代化数据分析机制能够在系统关键性阈值未被触及之前就抢先检测到DDoS活动。

因此，企业将不必将DDoS视为一种无法彻底避免的安全风险。相较于自行承担后果或者由服务供应商协助解决，如今企业客户已经能够采购相关技术方案并阻断攻击活动，从而显著降低由此引发的停机事故所带来的高昂成本。