所謂“道高一尺，魔高一丈”，從互聯(lián)網(wǎng)誕生之日起，網(wǎng)絡(luò)安全問題就隨之產(chǎn)生；而在各種安全防護(hù)技術(shù)不斷提升的同時，各種網(wǎng)絡(luò)攻擊和犯罪行為也是花樣不斷更新，形成了攻擊和防攻擊對陣的形勢。

在對抗網(wǎng)絡(luò)攻擊的過程中，了解和洞察互聯(lián)網(wǎng)上的各種安全威脅尤為重要。在此方面，Akamai公司依托遍布全球的分布式平臺，持續(xù)跟蹤網(wǎng)絡(luò)安全狀況并發(fā)布分析報告，近日，Akamai發(fā)布了2015年第二季度互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報告。根據(jù)報告，網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪行為變得越來越自動化，分布式拒絕服務(wù)（DDoS）與網(wǎng)絡(luò)應(yīng)用攻擊帶來的威脅持續(xù)不斷增加，同時DDoS的貨幣化趨勢愈演愈烈。

技術(shù)進(jìn)步成“雙刃劍”

John Ellis，Akamai亞太及日本區(qū)域首席網(wǎng)絡(luò)安全戰(zhàn)略專家，從事IT安全研究20年，他告訴記者，網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪行為的簡單化和自動化是網(wǎng)絡(luò)安全呈現(xiàn)出的最新特征。

“軟件和技術(shù)的進(jìn)步，使得現(xiàn)在進(jìn)行網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪的人員專業(yè)程度并不需要很高，提供給攻擊者的資源也越來越豐富和多樣，使得網(wǎng)絡(luò)犯罪這一原本屬于資源密集型的工作變得越來越簡單和自動化，攻擊來源也日益分散化。”John Ellis表示，“在互聯(lián)網(wǎng)黑市上，各種用于攻擊的軟件和設(shè)備自由交易，網(wǎng)絡(luò)攻擊者無需了解復(fù)雜的編碼編程，而是只了解如何使用這些工具，即可發(fā)動大規(guī)模網(wǎng)絡(luò)攻擊。由此也導(dǎo)致互聯(lián)網(wǎng)犯罪越來越多。”

分布式拒絕服務(wù)（DDoS）通過大量合法的請求占用大量網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)服務(wù)的目的。根據(jù)Akamai的調(diào)查，DDoS最近也呈現(xiàn)出了新的趨勢，不僅在量上有持續(xù)增加的趨勢，而且攻擊的目的也變得貨幣化。

根據(jù)Akamai的調(diào)查，在過去3個季度內(nèi)，DDoS攻擊量同比增長了132%。盡管攻擊者傾向于發(fā)起不太強(qiáng)烈但持續(xù)時間較長的攻擊，但危險的大規(guī)模攻擊數(shù)量也在持續(xù)上升。2015年第二季度，12起攻擊的峰值流量超過了100Gbps，5起攻擊的包轉(zhuǎn)發(fā)率峰值超過了50Mpps，只有極少數(shù)的企業(yè)能夠以一己之力承受住這樣的攻擊。

同時，DDoS攻擊行為的貨幣化趨勢越來越明顯。John Ellis表示，以前DDoS攻擊的主要目的是用來打擊競爭者，或者表明某些政治立場，但是現(xiàn)在DDoS攻擊團(tuán)體會利用這種行為來對企業(yè)進(jìn)行勒索，他們會發(fā)動一些小型攻擊，以互聯(lián)網(wǎng)虛擬貨幣的形式進(jìn)行勒索，這比現(xiàn)實的貨幣更容易支付，被勒索的受害人也比較容易支付這種貨幣。這就導(dǎo)致許多以前認(rèn)為自己不太可能成為DDoS攻擊目標(biāo)的企業(yè)變成了DDoS攻擊的目標(biāo)。

網(wǎng)絡(luò)攻擊方式和來源

以安全為目標(biāo)的超文本傳輸協(xié)議HTTPS正在規(guī)模普及，而根據(jù)Akamai的調(diào)查，一種名為Shellshock的攻擊，2015年第一季度僅有9%通過HTTPS展開，而在第二季度則升至56%。為什么HTTPS成為了網(wǎng)絡(luò)犯罪分子的最新攻擊對象？

John Ellis從3個方面進(jìn)行了分析：首先，從協(xié)議本身看，HTTPS是在HTTP原始協(xié)議基礎(chǔ)上加上TLS加密協(xié)議，HTTP環(huán)境下管道里的數(shù)據(jù)未經(jīng)過加密是可見的，在HTTPS環(huán)境下管道里的數(shù)據(jù)流量經(jīng)過加密不可見；其次，目前所使用的防火墻和防入侵軟件無法解密經(jīng)過HTTPS加密的流量，無法通過傳統(tǒng)方式來阻止對Web應(yīng)用發(fā)動的攻擊。

“從攻擊的角度看，HTTP和HTTPS對于黑客而言沒有本質(zhì)上的區(qū)別，反而讓黑客們知道用HTTPS協(xié)議有一些敏感信息，從而讓他在發(fā)動攻擊時更有針對性。黑客會針對HTTPS采取解密工具和惡意流量注入的方式，從Web應(yīng)用源頭入手混淆視聽，而用戶由于采用HTTPS而無法在傳輸過程種分辨流量內(nèi)容，反而為黑客分子大開方便之門。”

此外另一個值得注意的現(xiàn)象是，根據(jù)Akamai的統(tǒng)計，2015年第二季度DDoS攻擊的十大來源國和地區(qū)中，中國居然高居榜首，占比高達(dá)37%，比位于第二名的美國的占比高出20%。

John Ellis認(rèn)為，中國占比高，首先是因為中國人口基數(shù)大；其次中國設(shè)備被惡意軟件感染的比例非常高，接近50%；再次，來自其他國家的黑客通過惡意代碼入侵中國的系統(tǒng)，將其組成僵尸網(wǎng)絡(luò)，這樣表面上看來是來自中國的攻擊，其實背后的操縱者位于其他國家，這種被控制的機(jī)器在中國被叫做“肉雞”。由于各國法律層面對此問題的規(guī)定并不健全，因此即使中國官方掌握了這一情況，也無法將真正的犯罪分子繩之以法。

需加強(qiáng)分析和預(yù)判

掌握網(wǎng)絡(luò)攻擊的最新動向并有針對性地采取措施，是行之有效的網(wǎng)絡(luò)防攻擊做法。

針對網(wǎng)絡(luò)攻擊自動化的趨勢，John Ellis建議相關(guān)公司加強(qiáng)對大數(shù)據(jù)的收集和分析，提升對于自動化機(jī)器的學(xué)習(xí)能力，并聘用足夠多的數(shù)據(jù)科學(xué)家，及時捕捉網(wǎng)絡(luò)異常狀況并采取防控措施。對于HTTPS成為網(wǎng)絡(luò)攻擊新對象的問題，John Ellis建議網(wǎng)絡(luò)架構(gòu)師從架構(gòu)方面入手，改變網(wǎng)絡(luò)架構(gòu)，以方便卸載加密協(xié)議，以方便自己觀察到進(jìn)入管道中的流量的具體情況。而對于“肉機(jī)”的問題，John Ellis認(rèn)為隨著個人聯(lián)網(wǎng)終端數(shù)量的不斷增多，被各種病毒入侵的風(fēng)險也與日俱增，因此他建議用戶經(jīng)常為系統(tǒng)做升級、打補(bǔ)丁，盡可能消滅有可能被惡意人士利用的突破口。

在網(wǎng)絡(luò)安全方面，Akamai擁有遍布全球的CDN和服務(wù)器平臺，通過這一平臺，Akamai可以做到以下幾點：第一，Akamai的平臺可以近距離地觀察網(wǎng)絡(luò)攻擊行為，收集相關(guān)數(shù)據(jù)，并對惡意行為進(jìn)行分析判斷；第二，Akamai的邊緣服務(wù)器分布在世界各地，可以隨時根據(jù)觀察到的惡意攻擊行為來完善安全策略，并把更完善的安全策略反饋給平臺上的用戶；第三，DDoS攻擊中夾雜著正常業(yè)務(wù)流量，Akamai可以采取清洗中心的方式，除去惡意流量，留下正常流量，以保證數(shù)據(jù)中心應(yīng)用的可用性。而由于Akamai的平臺分布在全球各地，無論用戶處在世界哪個角落，無論使用怎樣的設(shè)備，所有的Akamai邊緣服務(wù)器會同時執(zhí)行一致的安全策略。