DDoS攻擊進入太比特時代

根據德勤全球的預測，分散式拒絕服務(以下簡稱「DDoS」:Distributed Denial of Service)攻擊在2017年將變得規模更大，更頻繁也更難抵禦(降低影響的嚴重程度)。德勤預計每個月的平均攻擊為Tbit/s21，攻擊次數總計超過一千萬次，平均攻擊規模在1.25-1.5Gbit/s之間。一次沒有緩解的 Gbit/s攻擊(其影響未能得到抑制)就足以讓大部分機構下線。

從2013到2015年，攻擊的最大規模分別為300、400和500 Gbit/s。2016年裡已經發生了兩次Tbit/s攻擊。(參見下面對DDoS攻擊方式的說明)

DDoS攻擊說明：

DDoS攻擊的目的在於讓網站無法正常使用，也就是說讓電子商務網站無法賣東西，讓政府網站無法處理納稅申報表，或是讓新聞網站無法發布新聞。 最常見的DDoS攻擊就是造成網路擁堵。一次DDoS攻擊相當於數十萬個假冒消費者同時湧入一家傳統的實體店。商店很快被擠得水泄不通。

真的顧客進不來，商店無法為這些人提供服務，因而也沒法做生意。 製造擁堵的方法有很多。最常見的兩種就是殭屍網路和放大攻擊。

殭屍網路由數量龐大(目前是數十萬)的互聯設備組成，這些設備已經被惡意代碼感染，可由第三方操控實施破壞性行為。殭屍網路可用於發 起洪水攻擊，這也是目前最常見的攻擊形式。

第二種方法就是放大攻擊，它的原理就是將惡意代碼注入伺服器，讓其創建多個虛假的 IP地址(也稱為「電子欺騙」)，它們可以向一個網站 發送大量指令，導致擁堵29。每一個被感染的機器可以創建數千個虛假的IP地址，因此放大攻擊通過感染相對較少數量(數千台)的伺服器就 能導致大規模的破壞。

防禦DDoS攻擊的標準方法就是將網路訪問流量轉移到第三方，它專門過濾向網站發送的惡意請求，也就相當於將真正的顧客同假冒顧客區分開來。每一個專門緩解攻擊的第三方都有很大(然而有限)的容量來控制攻擊，每一個這樣的供應商通常可以代表客戶同時減緩多個攻 擊。至於那些針對客戶的攻擊，它們的累積容量有時可能會超過第三方應對攻擊的容量。

主要因為以下三大趨勢，我們預測DDoS威脅會升級:

1、不安全的物聯網設備(比如互聯的攝像頭和數字視頻錄像機)的用戶數量持續增長，它們通常比個人電腦、智能手機和平板電腦更容易被併入殭屍網路。

2、網上存在公開的惡意軟體，比如Mirai，使相對缺乏技能的攻擊者有能力將不安全的物聯網設備併入殭屍網路，利用它們發起攻擊

3、帶寬速度變得更高(包括Gbit/s範圍內的增長以及其他超快的消費者及企業寬頻產品)，這意味著殭屍網路中每一個被感染的設備可以發送更多的垃圾數據。

在過去幾年裡，DDoS攻擊的規模逐步變大，防禦手段也相應增長。過去，它就是一個貓捉老鼠的遊戲，不會有一方太過強大。不過到了2017年，這種局面可能有所改變，原因有二:不安全的物聯網設備數量龐大;利用物聯網設備的弱點實施大規模攻擊變得更加簡單。

可能出現的後果就是內容發布網路(CDNs)和本地防禦手段無法穩步升級以抵禦同時期的大規模攻擊，這就需要新的方法來應對DDoS攻擊。

不安全的物聯網設備

首先，導致 DDoS 攻擊影響升級的一大趨勢就是互聯物聯網設備(從攝像機到數字視頻錄像機，從路由器到家電設備)用戶數量的增加。

遠程感染一台互聯設備(包括物聯網設備)通常需要知道它的用戶 ID 和密碼。在第一次使用一台設備之前，大部分用戶都知道有必要更改用戶 ID 和密碼，之後還會定期更換。但是，在全球數十億台物聯網設備當中，大約有五十萬台——所佔比例很小，但絕對數量還是較多——據說採用的是硬編碼的、無法更改的用戶 ID 和密碼。換言之，即使用戶有這個想法，也無法更改用戶 ID 和密碼。

硬編碼的用戶 ID 和密碼如果不被人知道，也不會成為問題。但是，有編程經驗的人查找設備的固件就可以發現硬編碼的登錄憑據;此外，它們還可能作為參考內容提供給軟體開發人員或者出現在用戶手冊中，也有可能通過非法手段獲取之後發布在網路上。易受攻擊的設備有可能被召回，不過其所有者可能要過很長時間才會將它們交回。

其次，許多用戶僅僅因為怕麻煩，不願意更改登錄憑據。在物聯網設備上重新設置密碼(如果允許，還可以修改用戶ID)比用戶所料想或習慣的更費勁。在全尺寸的電腦鍵盤上創建新的用戶 ID 和密碼很簡單，在採用觸摸屏的智能手機上也沒那麼麻煩，但是在沒有內置屏幕或鍵盤的物聯網設備上就難多了。但如果不更改登錄憑據，就留下了安全漏洞。

第三，如果設備沒有屏幕或者顯示屏很小(比如互聯的攝像機或數字錄像機)，它們可能無法提示升級的必要，有的甚至無法運行殺毒軟體。

此外，物聯網設備通常採用插入式充電，對於可用電量的損耗沒有明顯的標誌。這一點與受到感染的筆記本電腦、平板電腦或智能手機不一樣，如果它們被用於攻擊，電池的電量會損耗得更快。

如果將被感染的設備用於攻擊，通常是察覺不到的:它可能在設備所有者睡覺期間被惡意使用，在另一個時空被用來攻擊目標。例如，位於歐洲的設備可以在午夜攻擊位於北美西海岸的目標。數幾百萬台設備被併入殭屍網路，而它們的所有者可能在好幾年的時間裡毫不知情。

此外，設備製造商也沒怎麼花心思讓用戶界面能夠兼容各種操作系統或瀏覽器，這就使得更改設置(包括密碼)變得更難。

與普遍受到更好保護的個人電腦、平板電腦和智能手機相比，物聯網設備的弱點更為明顯，黑客因此也更喜歡攻擊它們。

DDoS 對攻擊者不再有技能要求過去，限制 DDoS 攻擊數量和嚴重程度的一個因素就是發動攻擊的難度。

但是到了 2016 年年末，在惡意軟體Mirai 的支持下發起 620 Gbit/s 的攻擊之後，有關如何複製這一攻擊的指導說明就被發布到了網上，而且隱匿了始作俑者的蹤跡。發布的內容包括了一系列互聯設備(大部分為物聯網設備)的默認用戶 ID 和密碼。這樣一來，其他人馬上就能輕而易舉地複製這一攻擊。 2017年，因為種種原因(從好奇到有組織的攻擊)，可能還會發生基於Mirai源代碼的進一步攻擊。

不斷提升的帶寬速度

導致大規模攻擊更加常見的第三個原因就是不斷提升的寬頻上行速度。上行速度越快，每一台被感染的設備可以發送的垃圾流量就越多，造成的破壞也就越嚴重。如果一個用戶的設備被感染，其上行速度達到了 Gbit/s，那麼它的破壞力相當於一百台上行速度為 10 Mbit/s(這個上行速度更為常見)的受感染設備。

2017 年，許多市場將陸續迎來兩次重大的網路升級。電纜網路將升級到 DOCSIS 3.1，可以實現數千兆位網速;銅纜網路將升級到 G.fast，通過傳統的銅絞線實現每秒數百兆位的速度。經過升級的電纜和銅纜網路可能繼續優先考慮下行速度，不過其上行速度也會顯著提升 35。

另外，全球範圍內的光纖到戶(FTTH)和光纖到駐地(FTTP)安裝設備也在不斷增多。

截至 2020 年，全球範圍內的 Gbit 連接將數以億計，其中少部分的上行速度也將達到 Gbit36。

小結

DDoS攻擊在2017年不是什麼新鮮話題，不過它的潛在規模是。任何一個對網路越來越依靠的組織應該跟上類似攻擊的潛在增長。應該保持警惕的組織及項目包括(但不僅限於):在線收入占很大比例的零售商;在線視頻遊戲公司;流媒體視頻服務;在線業務與服務交付公司(金融服務、專業服務);以及政府在線服務項目，比如稅務征繳。

公司及政府應該考慮多種選擇方案，以便減輕DDoS攻擊的影響:

• 分散化:諸如雲計算、指揮與控制(C2)、態勢感知和多媒體會話控制此類的關鍵功能都嚴重依賴高度分享的集中式伺服器和數據中心。信息和計算的集中讓攻擊者能夠輕鬆鎖定目標(數據中心、伺服器)，可以推動DDoS攻擊目標的開發與攻擊的實施。各個組織應該設計並實施新的架構，在邏輯和物理上將這些能力分散開，同時確保傳統的集中式方案的性能。

• 帶寬超額訂購:大型組織考慮到自身的增長和DDoS攻擊，通常會租用超出自己需求很多的容量。如果攻擊者無法召集足夠的流量淹沒這個容量，通常無法實施有效攻擊。

• 測試:各個組織應該主動發現那些會削弱檢測或抵禦DDoS攻擊能力的弱點和漏洞。受控的以及友軍炮火可以用來檢查和測試DDoS響應以及整體恢復能力的進展。這樣一來，就可以發現測試場景設計、度量、設想和範圍上的缺陷，增加對潛在的DDoS攻擊方法或特點(之前可能被忽略)的認知。

• 動態防禦:目標靜態的、可預測的行為易於攻擊的規劃與實施。公司應該採用靈活多變的防禦方法，它們可以根據實際情況進行調整;準備工作應該包括欺騙方式的設計，建立一個虛假的現實迷惑攻擊者，分散攻擊流量。

• 撤退方法:在線流媒體公司可能需要考慮是否提供離線模式;例如，允許客戶預先載入內容，事後觀看。

• 防護:應該鼓勵甚至強制要求設備供應商為自己的產品獲得安全認證，並在外包裝上加以標記。登錄憑據的更改應該簡單而安全。理想情況下，產品應與定製的憑據配套，對一台設備而言，憑據都是獨一無二的。這就意味著沒必要依賴客戶重新設置ID和密碼。應該鼓勵潛在客戶購買通過認證的產品37。軟體也應該引入分級系統38;

• 檢測:基於地域對流量進行過濾——如果流量從一個地方湧來，就有必要視為可疑的情況;此外，過濾掉那些看上去大到可疑的流量(之前並不活躍的1 Gbit/s的連接);但是，如果連接的數量增加，合理的大流量也可能增加。

• 抵禦:電信公司也有可能被要求在DNS層級進行過濾，如有需要可以追蹤來自其他國家的流量。

• 有些實體可能對DDoS 攻擊已經有些漠然了。但是，這些攻擊可能隨著時間會變得更具破壞力，攻擊者也可能想出更加獨出心裁的辦法。不幸的是，我們在DDoS 攻擊這件事情上決不能鬆懈。DDoS 惡魔已經跑到瓶子外邊，不可能再把它塞回去了。

DDoS 在——攻守進一步升級

在 , DDoS 攻擊同樣在流量與維度上 不斷升高。2016 年，樂視遭遇了其成立 以來最大的一次惡意 DDoS 攻擊，峰值 流量高達 200Gbps，使其電視端、手機端、 網頁端處於癱瘓狀態而無法登陸。此外， 眾多互聯網金融平台亦曾遭遇過無法應 對的大流量 DDoS 攻擊，而對於該類企 業而言，數小時的伺服器暫停運行足以 造成客戶流失。在，約有 24% 的被 攻擊網站在攻擊一周內受到致命影響 39， 表現為日均流量下降超過 70%，而平均 1/4 的公司會在遭遇 DDoS 攻擊一月內 徹底死亡。DDoS 防護失敗的種種案例助長了攻擊方的強勢，在軟硬體進一步 升級的當下，可以預見 DDoS 攻擊將愈 演愈烈。儘管如此，是 DDoS 全球 主力輸出國家之一，在 16 年一場針對北 美 Dyn 公司的 DDoS 攻擊中，來自 的 IP 地址數量高達 10%40，是第三大攻 擊輸出國家。

我們預期在 2017 年，來自的 DDoS 攻擊與中方抗 DDoS 防禦之戰將進一步 升級。攻擊方將組織更大流量更高峰值 的 DDoS 攻擊，促使對 DDoS 防護體系 的專業需求上升。面對攻擊方的嚴峻考 驗，防護攻擊方將呈現兩極分化態勢， 大型企業將成為防護主力。

DDoS 攻擊在將呈現大流量、高峰 值態勢 正在邁向信息化、智能化時代的，使攻擊方組織大規模 DDoS 的難度降 低。目前 DDoS 最高峰值流量約為 500Gbps，而在 2017 年，這個記錄極 有可能被刷新並踏入 TGbps 時代。其原 因有三:

首先 , 智能手機與電腦的快速普及降低 了發動 DDoS 攻擊的硬體需求。目 前的主流 DDoS 攻擊設備是主機端與移 動端，攻擊方利用免費軟體陷阱散播感 染程序，預裝於大量主機與智能手機中。 在必要的時候，這些潛伏的感染機將成 為攻擊武器，聯合攻打作戰目標。而隨 著智能手機與電腦普及率的快速上升(參 見圖表 3)，潛在的攻擊武器數量隨之 上升，以該方式發動 DDoS 攻擊峰值可 達數百 Gbps，對大部分非專業防護企業 造成致命影響。

其次 , 全國帶寬的大幅度提升顯著加強了 DDoS 攻擊力度。截止 2015 年底平 均城市寬頻接入速率已達到 20M，而預 計到 2020 年底，城市寬頻接入速 率將達到 50M41。同時，上海、廣州、 深圳等一線城市已先後邁入千兆網路時 代。寬頻提速給居民生活帶來方便的同 時，也引起了高強度網路攻擊的安全隱 患，黑客控制同等數量的主機便可藉由 翻倍的帶寬而獲得翻倍的 DDoS 攻擊流 量。

再者 , 爆髮式的物聯網設備發展始的安全 隱患攀升。物聯網設備有數量多、安全 防護低的特點。根據工信部數據，2015 年物聯網產業規模達到 7500 億元 人民幣，同比增長 29.3%。預計到 2020 年，物聯網整體規模將超過 1.8 萬 億元。

而與此同時，物聯網設備的安全隱患並 未得到應有的重視。大部分智能硬體都 存在不同程度的固化密碼或固件無法升 級的隱患，2016 年多家物聯網設備 企業大批召回存在安全漏洞的設備，如 小米旗下的小蟻攝像機曾被曝出應用管 理程序存在遠程執行的漏洞，有心人無需密碼就可進行遠程操控危害個人隱私。此外，物聯網設備長時間插電的供電形 式，也使其異常運轉狀態難以被察覺。 物聯網繁榮背後或將成為網路安全的致 命傷。

DDoS 防護體系需求將直線上升

在 DDoS 網路攻擊規模和頻率上大幅增 加的大背景之下，大多中小型企業將無 法以自身技術與資源來應對，而近兩年 的創新創業熱潮引起大批初創企業湧現， 使互聯網專業管理與防護的需求直線上 升，網路安全成為了這批企業關注的焦 點之一。

DDoS 攻擊具有無法避免、無法預見的 特點，且對抗 DDoS 的傳統技術需要強 大的出口帶寬、流量清洗功能以及反應 敏捷的防禦團隊，這正是大部分中小企 業不具備的能力。也因此，廠商紛紛選 擇購買專業流量清洗防護抵禦DDoS攻擊。

隨著大批互聯網初創企業的湧現與日益 嚴峻的網路安全問題凸顯，不具備抵抗 能力的企業向專業防護企業求助的頻率 將大幅上升。外包互聯網管理與防護而 非自己組建抵禦團隊將成為許多中小企 業的首選。

DDoS 防護供給方將呈兩極分化態勢 隨著 DDoS 攻擊在流量和維度上的不斷 演進，不僅使受害企業陷入危機重重， 更是一場攻擊方和防護方之間的競爭。 一旦防護方企業落後於攻擊發展速度， 該企業將被市場淘汰。對許多中小型網 絡服務與安全防護提供商而言，數十乃 至上百 Gbps 的 DDoS 攻擊已是防禦上 限，若這些企業未能在較短時間內提升 防護能力，將無法應對席捲而來的數百 G乃至T級別的DDoS攻擊。

背靠強大的帶寬、強力的數據清洗能力 以及富有經驗的反應團隊，提供網路 安全防護的龍頭企業將成為抵抗大流 量 DDoS 攻擊的主力。目前幾家抗 DDoS 的大型企業已能獨立防護 TGbps 級別的攻擊。面臨嚴峻的考驗，龍頭企 業在抗 DDoS 防線的橫向合作趨勢愈加 凸顯。通過優勢領域的合作互補以及數 據庫共享，新推出的 DDoS 防護產品或 將提供更全面的防禦。

而在另一頭，部分創企試圖從終端著手， 將安全防護薄弱的物聯網設備捆綁至雲 端並採用混合加密的方式來防止黑客入 侵。DDoS 的傳統防護方式需要極高的 成本，這也促進了企業從其他角度切入 尋找低消耗更有效的方式來抵禦 DDoS 的攻擊，創新防護方式或將出現。