11月20日北京報(bào)道： 在過(guò)去的十年中，分布式拒絕服務(wù)攻擊(DDoS)不斷激增，成為幾乎每一個(gè)暴露在互聯(lián)網(wǎng)上的企業(yè)面臨的主要威脅之一。而近來(lái)DDoS又發(fā)生了新的變化，大流量攻擊已經(jīng)變得越來(lái)越普遍，這一變化也意味著企業(yè)越來(lái)越疲于應(yīng)對(duì)如此程度的攻擊。

“如今DDoS已能達(dá)到125GB的攻擊流量，到2016年攻擊速度將達(dá)到1TB/s。”Akamai信息技術(shù)安全部總監(jiān)John Ellis在接受專(zhuān)訪(fǎng)時(shí)表示。

而極少有公司或組織擁有可以抵御這種程度攻擊的設(shè)備，傳統(tǒng)的通過(guò)增加網(wǎng)絡(luò)帶寬資源也只是在應(yīng)對(duì)小規(guī)模流量攻擊時(shí)防御效果明顯，面對(duì)大規(guī)模攻擊時(shí)則力不從心。

糟糕的是，隨著僵尸網(wǎng)絡(luò)的擴(kuò)散，DDoS攻擊規(guī)模不斷提升。John多次提到，大流量攻擊在現(xiàn)在已經(jīng)變得司空見(jiàn)慣，Akamai曾為受到DDoS攻擊的客戶(hù)緩解了超過(guò)200Gbps的流量。根據(jù)Akamai發(fā)布的《2012互聯(lián)網(wǎng)發(fā)展?fàn)顩r報(bào)告》顯示，作為一個(gè)長(zhǎng)期延續(xù)的趨勢(shì)，許多Akamai客戶(hù)在2012年上半年都遭遇了拒絕服務(wù)攻擊。僅在今年上半年，Akamai的支持團(tuán)隊(duì)就記錄了89次客戶(hù)針對(duì)DoS攻擊提出的協(xié)助防御請(qǐng)求。攻擊者不再局限于網(wǎng)絡(luò)層攻擊，更多的是針對(duì)應(yīng)用層DoS攻擊(大流量或“慢DDoS”)或網(wǎng)站應(yīng)用攻擊(SQL注入、跨站腳本攻擊等)，這種攻擊一旦成功，不僅會(huì)嚴(yán)重影響目標(biāo)網(wǎng)站的可用性，而且由于其本身的特性，還會(huì)帶來(lái)數(shù)據(jù)泄漏的重大風(fēng)險(xiǎn)。

John進(jìn)一步補(bǔ)充道，傳統(tǒng)的防御方法缺點(diǎn)是增加延時(shí)，先通過(guò)監(jiān)控BGP通道再通過(guò)GRE，這需要30分鐘的時(shí)間判定問(wèn)題，而且還會(huì)制造一些假象，難以發(fā)現(xiàn)根源。

IT管理者需要找到一種行之有效的方式，來(lái)應(yīng)對(duì)網(wǎng)絡(luò)上這破壞性的攻擊。John告訴記者，Akamai將安全防護(hù)擴(kuò)展到數(shù)據(jù)中心之外，通過(guò)建立包含超過(guò)十萬(wàn)個(gè)服務(wù)器，分布于83個(gè)國(guó)家，2000多個(gè)網(wǎng)絡(luò)中的智能平臺(tái)防堵DDoS攻擊。這一基于云的中心可吸收鎖定應(yīng)用層的DDoS流量，將針對(duì)網(wǎng)絡(luò)層的所有DDoS流量轉(zhuǎn)向。作為基于云的托管服務(wù)，Akamai降低了集中式安全資源和人員的相關(guān)負(fù)擔(dān)，使核心基礎(chǔ)設(shè)施更加靈活有效。

值得一提的是，Akamai智能平臺(tái)能夠?qū)戏髁亢凸袅髁窟M(jìn)行區(qū)別對(duì)待，從而高效地進(jìn)行處理。John說(shuō)到，數(shù)據(jù)中心一旦迎來(lái)高峰，傳統(tǒng)的提高帶寬或集中式的安全解決方案不能分辨是因?yàn)榫W(wǎng)站歡迎度提升或一些熱點(diǎn)事件導(dǎo)致瀏覽量增加，還是一些非法攻擊流量造成的。在Akamai的解決方案下，在源頭檢測(cè)并提前處理惡意請(qǐng)求有利于保護(hù)源服務(wù)器，并可有效阻擋互聯(lián)網(wǎng)攻擊流量，這種獨(dú)有的分布式方法能夠提供最佳的解決方案。

John解釋了這一原理，“假如CCTV是我們的客戶(hù)，通過(guò)Akamai眾多的服務(wù)器建立一個(gè)Cache。瀏覽者想要得到這個(gè)數(shù)據(jù)，這個(gè)數(shù)據(jù)直接是從服務(wù)器傳輸?shù)綖g覽者，不是CCTV傳輸過(guò)去的。如果這個(gè)信息在Cache沒(méi)有的話(huà)，CCTV把信息傳輸給Cache，每個(gè)服務(wù)器都可以分享這個(gè)信息。這個(gè)Cache可以區(qū)別瀏覽者或攻擊者，流量一旦超過(guò)頻率控制設(shè)定的門(mén)檻，就會(huì)進(jìn)入等候區(qū)，然后進(jìn)行分析?？蛻?hù)可以根據(jù)分析結(jié)果選擇不需要這個(gè)流量或讓服務(wù)器吸收這個(gè)流量，也可以讓它重新選擇路徑。”

分布式的云平臺(tái)可對(duì)互聯(lián)網(wǎng)的正常運(yùn)行進(jìn)行持續(xù)的實(shí)時(shí)監(jiān)控和分析。 這包括各地區(qū)流量水平、各主干網(wǎng)狀況、DNS服務(wù)器狀況以及BGP擾動(dòng)等數(shù)據(jù)。利用由異常流量模式觸發(fā)的客戶(hù)專(zhuān)用報(bào)警機(jī)制，Akamai對(duì)全球網(wǎng)絡(luò)的實(shí)時(shí)獨(dú)特監(jiān)控可提前識(shí)別流量攻擊及其資源。

John最后指出，除了大規(guī)模的流量攻擊外，針對(duì)應(yīng)用層漏洞的攻擊也愈發(fā)明顯。在經(jīng)過(guò)測(cè)試的網(wǎng)絡(luò)應(yīng)用程序中，近一半包含重要漏洞或緊急漏洞。比如SQL注入，跨站腳本攻擊(XSS)，應(yīng)用層DDoS攻擊比網(wǎng)絡(luò)層DDoS攻擊更難檢測(cè)。

John認(rèn)為，傳統(tǒng)的網(wǎng)絡(luò)防火墻和入侵防護(hù)系統(tǒng)無(wú)法有效地防御這些危險(xiǎn)的網(wǎng)絡(luò)攻擊。每一種方式均有其操作弊端，公司購(gòu)買(mǎi)和管理這些部署在內(nèi)線(xiàn)的設(shè)備，容易造成嚴(yán)重的單點(diǎn)故障。綜合安全構(gòu)架傾向于集二者之長(zhǎng)于一身，基于云的分布式安全服務(wù)進(jìn)行按需防護(hù)，能夠簡(jiǎn)化源服務(wù)器基礎(chǔ)架構(gòu)，同時(shí)減少I(mǎi)T規(guī)劃和維護(hù)的煩惱。這種經(jīng)濟(jì)有效的可擴(kuò)展方式給企業(yè)安全防護(hù)提供最優(yōu)的選擇。