無論你有沒有注意到,被稱為分布式拒絕服務(DDoS)攻擊的數字襲擊,經常發生。企業、互聯網基礎設施,還有大學及政府機構之類其他大型目標,時常遭到此類攻擊。甚至某種程度上說,被DDoS是常態。
互聯網更為廣闊的其他部分,沒處在DDoS所致網絡崩潰常態的唯一原因,是有第三方公司在提供DDoS防護服務。這些服務對防衛客戶大有助益,但也有其自身短板。隨著攻擊規模上升,服務價格往往水漲船高,而且如果攻擊過于龐大,提供商甚至還會紛紛撤出防御服務。
Cloudflare CEO 馬修·普林斯
但是,上個月底,DDoS防御廠商Cloudflare,從其防護產品中撤銷了按比例收取的費用。其新的“無限制緩解”計劃,意味著購買了Cloudflare其他服務的客戶,在遭受DDoS攻擊時將不再面臨額外繳費的風險,且使用Cloudflare免費產品的客戶也將享有不受限的DDoS防護。
Cloudflare首席執行官馬修·普林斯稱:“我們的網絡已成長到無懼面對互聯網襲來的大型DDoS。在見識過全球各地的攻擊并加以緩解之后,我們確信自己可以為任何人帶來這項服務。這是互聯網無可避免的走向。”
該舉措符合DDoS防御的長期愿景。只要每個人,不僅僅是Cloudflare客戶,都享有免費無限制DDoS防護,此類攻擊將不再那么容易得逞,最終只會走向絕跡。Cloudflare讓其防護廣為可用且不收取額外費用的做法值得肯定。但全面阻止DDoS所需的,不能僅僅是這一步。
城堡保衛戰
盡管大部分DDoS攻擊被挫敗,依然有大量攻擊確實破壞了網站和服務的穩定。比如說,2016年9月安全博主克雷布斯的網站,就遭到了峰值流量高達620Gbps的DDoS攻擊。
最初為該網站提供免費防護的阿卡邁公司,在面對卷入了全球大量物聯網設備的大規模僵尸網絡攻擊時,決定撤出其防護服務,讓克雷布斯的網站直接被DDoS踢下線。一周后,法國Web托管公司OVH遭到峰值流量達1.1Tbps之巨的罕見超大規模DDoS攻擊。
這種規模的攻擊的出現,讓Cloudflare的通告看起來有些令人吃驚。但是,普林斯決定,他的公司在技術和財力上,都達到了可以做出這種承諾的位置。Cloudflare的基礎設施采用了相對容易買到的現成產品,可以按需全球部署、設置、維護、置換,也就是說,可以快速高效地擴展。該公司目前運營著117個數據中心,擁有理論上15Tbps的DDoS防御能力;如果需要,可以幫助多家客戶抵御OVH級別的大型DDoS襲擊。
Cloudflare是否能實際承擔起該負載——財力和技術兩方面,我們尚未可知,尤其是在需要防護的客戶數量可能增加的情況下。而且,因技術限制而不得不停止防護客戶的失敗后果,可能也會令該公司蒙羞,對其受影響客戶造成潛在嚴重后果。(撤出防御有時候不止是嚴格意義上的技術問題;8月,Cloudflare做出了一個有爭議的決定:停止保護白人至上主義網站The Daily Stormer,致其立即掉線。)
普林斯對此泰然自若。“我們從每一次攻擊中學習,攻擊越多,我們越強大,越能夠保護我們網絡上的每一個人。我們完全預測到了,隨著該通告的發布,會有更多遭受DDoS攻擊的人訂閱我們,但那只會讓Cloudflare的服務隨時間進程而更加智能。”
如果一切照計劃進行,獲益的將不僅僅是Cloudflare。普林斯補充道,公司真心設想過將該舉措作為一個范例,希望免費DDoS防護能很快成為行業標準。
我們希望這能成為默認設置,不僅僅是Cloudflare,而是整個行業。如果這一切真的發生,那整個行業就有機會撲滅DDoS這種威脅了。
總體防御
全行業范圍內的推動可以滅絕DDoS的概念,其實已經流傳幾年了。谷歌Project Shield就是該想法的倡導者,為新聞、人權和選舉監測網站提供免費DDoS保護。早在去年,負責監管Project Shield的谷歌母公司Alphabet旗下孵化器Jigsaw總裁杰瑞德.科恩,就曾表示:“我們認為DDoS不應該存在。我們希望Shield能像Gmail對抗垃圾郵件一樣打敗DDoS攻擊。”
DDoS防御真的可以朝這個方向發展。歐美的一些大型互聯網服務提供商,已經開始計劃或默默推出標準DDoS防御,作為維護自身網絡監控和避免大型攻擊連帶傷害的一種方式。但Cloudflare是第一家高調承諾為所有客戶提供免費防護的公司。這是非常重要的一步,但全行業集力鎮壓DDoS還有很長的路要走。不過,這一天終會到來。
DDoS及網絡安全公司Arbor Networks首席工程師羅蘭·多賓斯稱:“多年前就有預測說,隨著對DDoS攻擊認知的增加,越來越多的終端客戶將堅持DDoS應作為基本要求,而不僅是收取高昂費用的附加服務。如今我們看到了實際操作的例子,這是很重要的一個發展。但除非被廣泛部署——當然這不太可能,我們就仍將不斷看到DDoS攻擊四處開花。”
專家們認同,低價或免費的標準化DDoS防護,可為客戶提供有價值服務,并幫助修整整個威脅態勢。但多賓斯和其他專家也警告,Project Shield和Cloudflare提供的此類DDoS防護,無論發展得有多廣泛,也不能完全清除掉DDoS,因為它們針對的只是某些類型的攻擊。”
新品種
Project Shield、Cloudflare和其他DDoS防護,基本上是代表其客戶接收Web請求的“反向代理”,評估并過濾請求以消除惡意流量,然后轉發安全請求。反向代理還會采取緩存客戶網站的辦法,不觸動客戶系統,自行響應某些請求。這些措施在客戶和潛在惡意黑客之間構筑了緩沖帶;DDoS攻擊中,代理承擔了大部分攻擊流量負擔。
該設置可以很好地對付直接攻擊,但不是真正意義上通用的DDoS防護,也無意這么宣稱。如果攻擊者DDoS互聯網基礎設施組件,比如互聯網底層的DNS路由系統,那么即便商業或機構性服務不宕機,連接也會中斷。去年秋天,互聯網基礎設施公司Dyn就遭到了此類攻擊,其DNS服務器被拿下。Dyn在其他基礎設施公司特別小組的幫助下對抗該攻擊時,多個流行站點經歷了各種各樣的間斷性服務掉線。
DDoS問題,是互聯網底層架構基本上可被濫用的結果。
另外,由于DDoS更多的是一種概念而非特定具體方法,攻擊者不斷探索新的方式,利用垃圾數據或請求來讓不同渠道過載,讓合法請求很難通過。
去年10月,一名黑客散布Java腳本漏洞利用,協同了約1000臺智能手機和平板電腦——基本上構成了電話僵尸網絡,連續撥打911報警電話,阻塞了911線路,讓真正的報警電話無法撥入。
還有些數字襲擊,被稱為應用DDoS攻擊的,就利用少量垃圾數據,有效創建分層系統中的級聯請求,像免疫系統疾病一樣利用自身功能摧毀自身。攻擊者還可以通過在防護不嚴的私營企業“內網”上訓練他們的垃圾數據大炮,來引發破壞。
丹·梅西,DNS安全公司Secure64首席科學家,前美國國土安全部(DHS)DDoS防御研究員。他表示:“沒人會說大型互聯網基礎設施公司向其客戶提供免費DDoS防護不好。這是個很不錯的想法,能緩解很多攻擊。但它幫不了的服務和情況也有那么幾類。而且即便是相當大的反向代理提供商,也會遭遇武器不足的窘狀。”
于是,Cloudflare這樣的反向代理提供的通用DDoS防護,能改善互聯網安全狀況嗎?那是肯定的。而且,如果業內其他廠商跟進,情況會更好。但這一舉動能否讓DDoS完全絕跡呢?不太可能。
京公網安備 11010502049343號