不久前，安全專家布魯斯·施奈爾指出：國家支持的黑客正在通過對主干網提供商進行精心策劃的分布式拒絕服務(DDoS)攻擊，來探測互聯網賴以生存的基礎設施；他們的目的，很可能是想在有需要的時候能搞攤互聯網。

“這讓我想起美國的冷戰計劃：高空飛機飛掠蘇聯境內，迫使蘇聯防空系統啟動，探測標繪出蘇聯防空實力。”施奈爾說道。

獨立網絡安全顧問奧蘭多·斯科特-考利認為，施奈爾的類比是合理的，盡管標繪一個國家的網絡防御比窺探防空設施要難得多。

偵察別國防御能力并不容易。由于我們都想弄清對方的數字導彈發射倉是什么樣子的，更多更喧囂的此類探測活動指日可待。

戴爾·德魯(照片所示)，一層網絡提供商 Level 3 Communications 首席安全官，承認DDoS攻擊正變得越來越嚴重，但他并不認為攻擊者就是國家支持的黑客。

他說：“Level 3 觀察到DDoS攻擊在規模和復雜度上的提升。250 Gbps 的攻擊都很常見，而且只會越來越大型。隨著網絡安全界和黑帽子掌握越來越多的互聯網和威脅生態系統知識，攻擊復雜性也一直在增加。”

Level 3 對付DDoS攻擊的手段，是流量過濾與威脅情報的組合。他們收集攻擊源頭、攻擊方式和計算機淪陷方式的數據，并共享這些信息。
“互聯網基礎設施提供商需要考慮大量的彈性和互聯性，無論是自身網絡，還是與其他提供商或根域名服務器運營商之間的對等點。”

“這是試圖提供低延遲和高可靠性訪問的藝術——我們很自然地將之設計成可迅速從直接攻擊中恢復。”

Level 3 所用技術之一，就是 BGP FlowSpec 協議。該協議用于防護大規模DDoS攻擊，或者重定向特定流量到數據中心或過濾器。該技術正被大型網絡設備公司，比如思科和Junip，以及主干網提供商，如 Level 3 所采納，作用是使這些公司能夠快速響應DDoS攻擊。

德魯說：“如果有人攻擊我們的網絡，我們有能力在網絡邊緣使用帶FlowSpec的全網高級過濾和清除功能，確保攻擊在第一個侵入點就被消滅，不會進入到網絡深層。”

Level 3 用帶FlowSpec的主干網實現IP過濾，然后通過路由流量到其全球清除中心來實現細粒度的過濾。鑒于當前全球威脅態勢，與其他提供商共享信息正變得越來越重要。

Level 3 與其他一層ISP(互聯網服務提供商)共享信息交換以快速識別對全球互聯網生態系統的威脅，并進行技術協作，對抗這些威脅。

另外，圍繞威脅態勢，業內正興起一股對話和協作的良好風潮。大多數業內公司都想要讓互聯網、客戶都更加安全。但即使有了這些計劃、技術投資和情報共享，Level 3 還是每年都在見證最壞的威脅情況。

過去幾年，攻擊流量變得更加復雜，消耗更多帶寬。如此，威脅只會愈加增長和演進。然而，如果能夠繼續投資威脅情報和威脅研究，我們就可以開始追蹤這些壞人的活動，以及，最重要的，他們的動機。只要知道他們想要什么，以及為什么想要，安全界就能在防護上略勝一籌。

德魯說：“去年我們緩解了一場 400 Gbps 的攻擊，這個假期可能會有更大型的攻擊出現。我認為業界需要專注協作，進行威脅研究，這樣才可能在對抗中占據優勢。”

德魯沒說錯。就在他說出此言后不久，另一家ISP，OVH，就慘遭 1 Tbps 的DDoS攻擊襲擊。

斯科特-考利對德魯的話評價道：“Level 3 的防御能力聽起來令人印象深刻，他們明顯從大量細節層面在對這些大規模的、國家支持的攻擊進行思考。”

“我們已經見證了戴爾提及的DDoS攻擊頻率——9月底OVH報告了 1 Tbps DDoS攻擊。所以，戴爾的預測是準確的，這個問題只會越來越糟。”

鑒于我們對攻擊者能力的無知，很難估算防御能力要達到多少才足夠。

斯科特-考利說：“我對這些疑似國家支持的探測和取模攻擊最大的擔心在于，只要有足夠的數字‘火力’，即便準備最充分的國家、提供商或企業，都可能被搞斷線。”

“這些國家支持的探測攻擊，不僅僅為了確定我們的防護到底有多好，還想探查我們在面對某種程度的斷網時的反應——有沒有多種路由？故障切換？恢復能力？一旦攻擊者知道我們所有的路由配置，同時予以襲擊以有效切斷連接就成為了可能。”