不久前，安全專(zhuān)家布魯斯·施奈爾指出：國(guó)家支持的黑客正在通過(guò)對(duì)主干網(wǎng)提供商進(jìn)行精心策劃的分布式拒絕服務(wù)(DDoS)攻擊，來(lái)探測(cè)互聯(lián)網(wǎng)賴(lài)以生存的基礎(chǔ)設(shè)施；他們的目的，很可能是想在有需要的時(shí)候能搞攤互聯(lián)網(wǎng)。

“這讓我想起美國(guó)的冷戰(zhàn)計(jì)劃：高空飛機(jī)飛掠蘇聯(lián)境內(nèi)，迫使蘇聯(lián)防空系統(tǒng)啟動(dòng)，探測(cè)標(biāo)繪出蘇聯(lián)防空實(shí)力。”施奈爾說(shuō)道。

獨(dú)立網(wǎng)絡(luò)安全顧問(wèn)奧蘭多·斯科特-考利認(rèn)為，施奈爾的類(lèi)比是合理的，盡管標(biāo)繪一個(gè)國(guó)家的網(wǎng)絡(luò)防御比窺探防空設(shè)施要難得多。

偵察別國(guó)防御能力并不容易。由于我們都想弄清對(duì)方的數(shù)字導(dǎo)彈發(fā)射倉(cāng)是什么樣子的，更多更喧囂的此類(lèi)探測(cè)活動(dòng)指日可待。

戴爾·德魯(照片所示)，一層網(wǎng)絡(luò)提供商 Level 3 Communications 首席安全官，承認(rèn)DDoS攻擊正變得越來(lái)越嚴(yán)重，但他并不認(rèn)為攻擊者就是國(guó)家支持的黑客。

他說(shuō)：“Level 3 觀察到DDoS攻擊在規(guī)模和復(fù)雜度上的提升。250 Gbps 的攻擊都很常見(jiàn)，而且只會(huì)越來(lái)越大型。隨著網(wǎng)絡(luò)安全界和黑帽子掌握越來(lái)越多的互聯(lián)網(wǎng)和威脅生態(tài)系統(tǒng)知識(shí)，攻擊復(fù)雜性也一直在增加。”

Level 3 對(duì)付DDoS攻擊的手段，是流量過(guò)濾與威脅情報(bào)的組合。他們收集攻擊源頭、攻擊方式和計(jì)算機(jī)淪陷方式的數(shù)據(jù)，并共享這些信息。
“互聯(lián)網(wǎng)基礎(chǔ)設(shè)施提供商需要考慮大量的彈性和互聯(lián)性，無(wú)論是自身網(wǎng)絡(luò)，還是與其他提供商或根域名服務(wù)器運(yùn)營(yíng)商之間的對(duì)等點(diǎn)。”

“這是試圖提供低延遲和高可靠性訪問(wèn)的藝術(shù)——我們很自然地將之設(shè)計(jì)成可迅速?gòu)闹苯庸糁谢謴?fù)。”

Level 3 所用技術(shù)之一，就是 BGP FlowSpec 協(xié)議。該協(xié)議用于防護(hù)大規(guī)模DDoS攻擊，或者重定向特定流量到數(shù)據(jù)中心或過(guò)濾器。該技術(shù)正被大型網(wǎng)絡(luò)設(shè)備公司，比如思科和Junip，以及主干網(wǎng)提供商，如 Level 3 所采納，作用是使這些公司能夠快速響應(yīng)DDoS攻擊。

德魯說(shuō)：“如果有人攻擊我們的網(wǎng)絡(luò)，我們有能力在網(wǎng)絡(luò)邊緣使用帶FlowSpec的全網(wǎng)高級(jí)過(guò)濾和清除功能，確保攻擊在第一個(gè)侵入點(diǎn)就被消滅，不會(huì)進(jìn)入到網(wǎng)絡(luò)深層。”

Level 3 用帶FlowSpec的主干網(wǎng)實(shí)現(xiàn)IP過(guò)濾，然后通過(guò)路由流量到其全球清除中心來(lái)實(shí)現(xiàn)細(xì)粒度的過(guò)濾。鑒于當(dāng)前全球威脅態(tài)勢(shì)，與其他提供商共享信息正變得越來(lái)越重要。

Level 3 與其他一層ISP(互聯(lián)網(wǎng)服務(wù)提供商)共享信息交換以快速識(shí)別對(duì)全球互聯(lián)網(wǎng)生態(tài)系統(tǒng)的威脅，并進(jìn)行技術(shù)協(xié)作，對(duì)抗這些威脅。

另外，圍繞威脅態(tài)勢(shì)，業(yè)內(nèi)正興起一股對(duì)話和協(xié)作的良好風(fēng)潮。大多數(shù)業(yè)內(nèi)公司都想要讓互聯(lián)網(wǎng)、客戶(hù)都更加安全。但即使有了這些計(jì)劃、技術(shù)投資和情報(bào)共享，Level 3 還是每年都在見(jiàn)證最壞的威脅情況。

過(guò)去幾年，攻擊流量變得更加復(fù)雜，消耗更多帶寬。如此，威脅只會(huì)愈加增長(zhǎng)和演進(jìn)。然而，如果能夠繼續(xù)投資威脅情報(bào)和威脅研究，我們就可以開(kāi)始追蹤這些壞人的活動(dòng)，以及，最重要的，他們的動(dòng)機(jī)。只要知道他們想要什么，以及為什么想要，安全界就能在防護(hù)上略勝一籌。

德魯說(shuō)：“去年我們緩解了一場(chǎng) 400 Gbps 的攻擊，這個(gè)假期可能會(huì)有更大型的攻擊出現(xiàn)。我認(rèn)為業(yè)界需要專(zhuān)注協(xié)作，進(jìn)行威脅研究，這樣才可能在對(duì)抗中占據(jù)優(yōu)勢(shì)。”

德魯沒(méi)說(shuō)錯(cuò)。就在他說(shuō)出此言后不久，另一家ISP，OVH，就慘遭 1 Tbps 的DDoS攻擊襲擊。

斯科特-考利對(duì)德魯?shù)脑捲u(píng)價(jià)道：“Level 3 的防御能力聽(tīng)起來(lái)令人印象深刻，他們明顯從大量細(xì)節(jié)層面在對(duì)這些大規(guī)模的、國(guó)家支持的攻擊進(jìn)行思考。”

“我們已經(jīng)見(jiàn)證了戴爾提及的DDoS攻擊頻率——9月底OVH報(bào)告了 1 Tbps DDoS攻擊。所以，戴爾的預(yù)測(cè)是準(zhǔn)確的，這個(gè)問(wèn)題只會(huì)越來(lái)越糟。”

鑒于我們對(duì)攻擊者能力的無(wú)知，很難估算防御能力要達(dá)到多少才足夠。

斯科特-考利說(shuō)：“我對(duì)這些疑似國(guó)家支持的探測(cè)和取模攻擊最大的擔(dān)心在于，只要有足夠的數(shù)字‘火力’，即便準(zhǔn)備最充分的國(guó)家、提供商或企業(yè)，都可能被搞斷線。”

“這些國(guó)家支持的探測(cè)攻擊，不僅僅為了確定我們的防護(hù)到底有多好，還想探查我們?cè)诿鎸?duì)某種程度的斷網(wǎng)時(shí)的反應(yīng)——有沒(méi)有多種路由？故障切換？恢復(fù)能力？一旦攻擊者知道我們所有的路由配置，同時(shí)予以襲擊以有效切斷連接就成為了可能。”