Arbor Networks發(fā)布第六期全球互聯(lián)網(wǎng)基礎設施安全年報

　　2010年可說(shuō)是分布式拒絕服務(wù)(DDoS)攻擊成為主要攻擊類(lèi)型的一年，而許多頗具影響的攻擊都是針對流行的互聯(lián)網(wǎng)服務(wù)和其它眾所周知的攻擊對象。2010年也是DDoS攻擊在互聯(lián)網(wǎng)上活動(dòng)規模和頻率激增的一年;DDoS攻擊規模首次突破100 Gbps，應用層攻擊同時(shí)也創(chuàng )下歷史新高。面向綜合通信網(wǎng)絡(luò )運營(yíng)商和下一代數據中心的網(wǎng)絡(luò )安全和管理解決方案的頂級供應商Arbor Networks公司(Arbor Networks, Inc.)發(fā)布報告指出，服務(wù)提供商因此受到巨大的沖擊;運行費用增加，營(yíng)收減少，客戶(hù)流失。

　　Arbor Networks是全球服務(wù)提供商和網(wǎng)絡(luò )運營(yíng)商的可信賴(lài)的顧問(wèn)和解決方案合作伙伴，憑著(zhù)其與建立運營(yíng)商長(cháng)期的合作關(guān)系和卓著(zhù)聲譽(yù)，今年再次成功完成這一年度報告。該報告針對一線(xiàn)網(wǎng)絡(luò )操作人員所遇到的各種來(lái)自全球僵尸網(wǎng)絡(luò )(botnet)和DDoS攻擊的挑戰，給出了獨到的見(jiàn)解。報告立足于提供統計數據和深入分析，可讓網(wǎng)絡(luò )運營(yíng)商在其安全戰略方面作出更加科學(xué)化的決策，以確保關(guān)鍵的互聯(lián)網(wǎng)基礎設施和其它基于IP的基礎設施的可用性。

　　哈佛大學(xué)Berkman互聯(lián)網(wǎng)與社會(huì )研究中心的Ethan Zuckerman稱(chēng)：“Arbor Networks公司的研究對于任何想了解網(wǎng)絡(luò )安全領(lǐng)域，以及其演進(jìn)過(guò)程和影響的人來(lái)說(shuō)都是完全不可缺少的。”

　　DDoS攻擊已成為主流

　　僵尸網(wǎng)絡(luò )驅使的DDoS攻擊很可能繼續成為2011年和以后的一種成本低且影響力高的網(wǎng)絡(luò )抵制形式。2010年發(fā)生的主要網(wǎng)絡(luò )事件包括涉及中日領(lǐng)土爭端，緬甸、斯里蘭卡政治騷亂及‘維基解密’等事件的DDoS攻擊。保護網(wǎng)絡(luò )可用性的需求最終進(jìn)入全球企業(yè)IT咨詢(xún)公司的監管視線(xiàn)，而對DDoS的防范也因此將被全球列為CXO級的管理問(wèn)題。

　　攻擊范圍繼續擴大

　　DDoS攻擊范圍包括易受DDoS攻擊的網(wǎng)絡(luò )基礎設施、服務(wù)器、協(xié)議和服務(wù)的各個(gè)方面。隨著(zhù)在網(wǎng)絡(luò )中引入新的設備、協(xié)議和服務(wù)，易受DDoS攻擊的設施的范圍將會(huì )擴大。這對網(wǎng)絡(luò )運營(yíng)商而言是一個(gè)巨大的挑戰。由僵尸網(wǎng)絡(luò )驅使的大規模的應用層DDoS攻擊仍然是運營(yíng)商面臨的最主要問(wèn)題。今年的報告還將披露針對基礎設施本身的攻擊，尤其是針對域名系統(DNS)、VoIP和IPv6的攻擊。

　　Arbor Networks公司首席解決方案專(zhuān)家Roland Dobbins稱(chēng)：“網(wǎng)絡(luò )運營(yíng)商正在面對由無(wú)處不在的僵尸網(wǎng)絡(luò )所發(fā)起的全球性互聯(lián)網(wǎng)暴動(dòng)。這導致DDoS攻擊的規模、頻率和復雜度迅速加大。攻擊向量不斷增多，包括應用和服務(wù)，以及在移動(dòng)設備上的蔓延，都大大增加了運營(yíng)商面臨的挑戰。”

　　應用層DDoS攻擊的復雜度和其對運行的影響程度都在增加。2010年有多達77%的受訪(fǎng)者報告檢測到應用層攻擊。這些攻擊既針對其客戶(hù)也針對其附屬支持服務(wù)，如DNS和門(mén)戶(hù)網(wǎng)站等?；ヂ?lián)網(wǎng)數據中心(IDC) 和手機/固網(wǎng)的無(wú)線(xiàn)運營(yíng)商都報告指出，應用層DDoS攻擊能夠導致大量服務(wù)中斷，運營(yíng)費用(OPEX)上升，客戶(hù)流失和收益損失。

　　復雜度不斷增加的攻擊暴露IPS和防火墻的弱點(diǎn)

　　為防范DDoS攻擊，許多運營(yíng)商部署了基于狀態(tài)檢測的防火墻(stateful firewall)和入侵防御系統(IPS)設備來(lái)保護數據中心基礎設施。但實(shí)際上，這些設備會(huì )使得網(wǎng)絡(luò )更容易遭受攻擊，因為即便是對目前升級最靈活的設備上的狀態(tài)表，一個(gè)中等規模的DDoS攻擊就可讓其癱瘓。有近49%的IDC受訪(fǎng)者報告了DDoS攻擊導致的防火墻和IPS癱瘓事件。

　　移動(dòng)網(wǎng)絡(luò )缺乏準備為新攻擊提供了機會(huì )

　　就網(wǎng)絡(luò )的可見(jiàn)性和控制，以及保護自身和客戶(hù)免受攻擊的整體能力而言，發(fā)展最迅速的手機和固網(wǎng)的無(wú)線(xiàn)網(wǎng)絡(luò )運營(yíng)服務(wù)可能是互聯(lián)網(wǎng)服務(wù)提供商(ISP)中缺乏充分準備的一環(huán)。有近60%的受訪(fǎng)者表示對其無(wú)線(xiàn)分組核心的流量缺乏可見(jiàn)性或受限。而僅有23%的受訪(fǎng)者表示其無(wú)線(xiàn)分組核心具有可見(jiàn)性，與其有線(xiàn)網(wǎng)絡(luò )的可視性相當或更好。值得注意的是，就安全而言，許多手機和固網(wǎng)的無(wú)線(xiàn)網(wǎng)絡(luò )運營(yíng)商可能僅具備與8到10年前有線(xiàn)運營(yíng)商之狀況相近的保護能力。

　　運營(yíng)商在轉變?yōu)镮Pv6運營(yíng)商的同時(shí)，也正在努力維持其安全狀況。一些運營(yíng)商就對IPv6網(wǎng)絡(luò )流量的可見(jiàn)性缺乏，以及無(wú)法象控制IPv4流量一樣地控制IPv6網(wǎng)絡(luò )流量存在擔憂(yōu)。部署IPv6到IPv4的網(wǎng)關(guān)和網(wǎng)絡(luò )地址轉換(NAT) 時(shí)所帶來(lái)的額外網(wǎng)絡(luò )狀態(tài)和DDoS向量，對網(wǎng)絡(luò )可用性也是一個(gè)嚴重的威脅。

　　DNS成為首要攻擊目標

　　DNS攻擊已成為DDoS最容易攻擊方式之一。它能夠通過(guò)拒絕互聯(lián)網(wǎng)用戶(hù)解析服務(wù)器/資源記錄，導致一臺服務(wù)器，一項服務(wù)或一個(gè)應用程序離線(xiàn)。此外，大量錯誤配置的DNS開(kāi)放式遞歸運算，加上許多網(wǎng)絡(luò )缺乏反欺騙部署，就會(huì )讓攻擊者發(fā)起導致DNS癱瘓的反射/放大性攻擊。