路沙

在金庸的武俠小說當中，武功招式紛繁復雜，令人眼花繚亂，而武功招式之間的相生相克也使得故事情節(jié)變得足夠精彩。在不久前結(jié)束的Arbor Networks媒體見面會上，Arbor Networks 大中華區(qū)總經(jīng)理金大剛就以“華山論劍”開題，講述了在DDoS（分布式拒絕服務）攻擊防御之間所衍生出的各種相生相克的對應招式。通過他的講述，似乎感受到一場場刀光劍影般的決斗，每天都通過DDoS攻擊在互聯(lián)網(wǎng)領(lǐng)域悄無聲息的上演。

從概念上來講，DDoS是指借助于客戶/服務器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。演變至今，DDoS無論是在攻擊手段，還是攻擊流量上都有了顯著變化。

有記錄顯示，2013年發(fā)生了人類歷史上第一次300G流量的DDoS攻擊行為，而在2017年上半年，在中國就發(fā)生了一場席卷全國的DDoS網(wǎng)絡(luò)攻擊活動，單個IP遭受黑客組織攻擊的流量規(guī)模就高達650G。在金大剛看來，DDoS的攻擊流量將呈現(xiàn)出指數(shù)級的增長形勢。

除了攻擊流量的與日俱增之外，DDoS攻擊的手段也變得更加豐富多樣。以前，DDoS攻擊更多的是海量攻擊，而現(xiàn)在DDoS的攻擊手段開始變得短小精悍，并且愈發(fā)精準，破壞力極大。金大剛解釋說，以前的手段是“洪水攻擊”，而現(xiàn)在的手段更多表現(xiàn)為狀態(tài)耗盡攻擊和應用層攻擊。

DDoS趨勢變化明顯

復雜度顯著提高

隨著攻擊手段的演變，DDoS攻擊的趨勢也開始出現(xiàn)明顯的變化，除了上面所提到的攻擊流量的變化之外，攻擊的復雜度和攻擊頻率也都愈來愈高。

目前，復雜的攻擊越來越受黑客歡迎，比如對某證券交易所的組合攻擊（SYN + TCP Connect + HTTP-flood + UDP flood）。這種攻擊的一個顯著特征是其罕見的多向量自然結(jié)合所形成的相對較低的攻擊流量，令人防不勝防。

另外，有數(shù)據(jù)顯示，相比2016年第四季度，2017年第一季度DDoS每天的襲擊事件數(shù)量從86次上升到994次。這樣一來，有可能僅僅一季發(fā)生的攻擊事件就高于過去一年的總量。從攻擊類型上來看，2017年第一季度，TCP DDoS攻擊的數(shù)量和比例急劇上升。 UDP和ICMP攻擊的百分比也有顯著增長。同時，SYN DDoS和HTTP的占比則有所下降。

當好“濾水器”

把好最后一關(guān)

會上，金大剛提到，關(guān)于如何做好DDoS攻擊防御，一些國際知名的調(diào)研機構(gòu)共同倡導了一個階層式DDoS防御政策。這種階層式的防御政策一方面需要具備云端清洗服務，另一方面還要有一個駐地端的保護設(shè)備。通常來說，上游運營商會承擔第一層云端防御任務，而像Arbor Networks這樣的DDoS防御廠商則會充當駐地端保護設(shè)備的角色，把好最后一關(guān)。

對此，金大剛舉例解釋說：“原生水經(jīng)過自來水廠過濾清洗之后，會輸送到每個家庭。這個時候，你會直接生飲嗎？當然不會，因為水里面可能還會隱藏一些雜質(zhì)，所以你還會用凈水器進行二次過濾?！?/p>

在這個階層防御體系里面，上游運營商由于要服務多種類型的客戶，如果篩選過濾得過于細致，稍有不慎就有可能過濾掉客戶正常的流量，所以上游運營商一般會采取較為寬松的篩選形式。這樣在保障正常流量不被過濾的情況下，也會使得DDoS攻擊行為獲得可乘之機，而這個時候就要發(fā)揮駐地端保護設(shè)備的作用。

作為DDoS領(lǐng)域的優(yōu)秀廠商，Arbor Networks憑借其產(chǎn)品在無狀態(tài)表架構(gòu)、指紋知識庫以及全方位阻斷手法等方面的優(yōu)勢，逐漸成為該領(lǐng)域內(nèi)的首選廠商。

在DDoS防御過程中，無論是IPS，還是WAF，都存在最大會話數(shù)的限制，這意味著當攻擊流量達到一定程度的時候，這些手段就會遇到瓶頸，失去效用。而Arbor Networks的產(chǎn)品由于是無狀態(tài)表架構(gòu)，就不存在最大會話數(shù)的限制。另外，Arbor Networks產(chǎn)品還擁有豐富的指紋知識庫。金大剛表示：“我們跟世界上400多家運營商都有合作協(xié)議，通過將收集器放在這些運營商里面，可以及時把樣本流量透過我們的收集器輸送到我們的資料中心和數(shù)據(jù)中心?！?/p>

與此同時，Arbor Networks產(chǎn)品還具備對戰(zhàn)學習的能力。Arbor Networks會根據(jù)黑客的行為做出是否具備攻擊行為的判斷，并采取措施，從而減少誤判行為，提升阻斷效率。

國際布局廣泛

中國市場有待開拓

會上，金大剛提到，目前Arbor Networks已經(jīng)與世界上400多家運營商建立了緊密合作。另外，在國際上，Arbor Networks還與谷歌合作共同建立了一個數(shù)位攻擊地圖，通過該地圖可以直接看到全世界正在發(fā)生的DDoS攻擊狀態(tài)。

雖然Arbor Networks與世界上眾多運營商都有合作，但國內(nèi)市場還有待拓展，與此同時，國內(nèi)BAT等互聯(lián)網(wǎng)巨頭在這方面也趨向于自主研發(fā)，Arbor Networks已開始與他們進行接觸。另外，由于成本、需求等多方面的因素，Arbor Networks目前的客戶群體主要還是中大型企業(yè)。

盡管如此，面對日益頻繁的DDoS攻擊，市場的需求和前景都將是十分巨大的，留給Arbor Networks的機會還有很多。