史上最大DDoS攻击的本质与防范

DDos攻击在今天看来并不新鲜，近两年来发展态势也渐趋平缓，直至一个月前，欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击，让人们警醒，原来DDos攻击手段从未被攻击者忽略。

这次超大流量DDos攻击的本质是什么?为什么会在今天出现?对此类攻击又该如何防范? 在防DDos攻击领域耕耘多年的安全公司Arbor近日对相关问题给出了答案。

问：迄今为止，这是最大的DDoS攻击吗?

答：是的，而且规模比以前大得多。之前报告的(和验证的)最大攻击约为100Gb/秒。

问：这是一种新型的DDoS攻击吗?

答：不是的。此次攻击属于DNS反射/放大攻击，而DNS反射/放大攻击已存在多年了。这种类型的攻击已被发现用来产生近年来互联网上看到的多个最大攻击。DNS 反射/放大攻击利用互联网上的DNS 基础结构来放大攻击能够产生的通信量。DNS 是用于主机名到IP 地址解析的互联网基础设施的重要组成部分。DNS 反射/放大攻击通过使用多个客户端肉机(bots僵尸肉机) 将查询发送到多个开放DNS 解析器中，从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间，使用了超过30K开放解析器)。

问：DNS反射/放大攻击是如何产生的?

答：两件事使这些类型的攻击成为可能：服务提供商网络缺乏入口过滤(允许流量从虚假源地址转发);因特网上开放 DNS 解析器的数目(可从任何 IP 地址进行查询响应)。

攻击者必须能够假冒目标受害人DNS 查询的源地址。所有组织应在他们网络的所有边界实施 BCP38/84 反欺骗。不幸的是，在今年的Arbor全球网络基础设施安全报告(包含2012年) 中，仅 56.9%的调查对象表示他们目前正在他们的网络边缘执行 BGP 38/84。

这种攻击的第二个关键组成部分是因特网上大量可用的开放DNS 解析器。目前在互联网上预计约有 2700 万开放DNS 解析器。

问：DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?

答：不，DNSSec 旨在确保DNS 查询答复的真实并且不被篡改。完全无助于DNS反射/放大攻击，相比没有DNSSec的情况，具有DNSSec的任何类型查询都会生成更显著的大量回复数据包，实施DNSSec 实际上意味着更易将攻击放大。

问：互联网基础设施几乎已经到了最大的100Gbps。如果是这样的话，Spamhaus是如何看到300 Gbps的流量的?

答：虽然 100Gb/秒是部署在生产网络中的最大单个物理链路速度，但是多个100Gb/秒物理链路结合在一起，就可以形成大容量逻辑链路。

问：如何缓解这类攻击?

答：如果大部分服务提供商在网络边界执行了BCP 38/84，同时还大幅减少互联网上开放的DNS 解析器的数目，那么就可以减小攻击者的能力，从而降低此类较大攻击的风险。

我们需要通过各种机制来缓解这些攻击。我们可通过IP 筛选器列表，黑/白名单，灵活僵尸去除，和/或攻击中合适的负载正则表达式对策来保护通过DNS 反射/放大攻击的最终目标服务器。S/RTBH(基于源的远程触发黑洞)和FlowSpec(特定流过滤)也可用于缓和攻击流量;然而，在应用这些机制时必须谨慎，因为这有可能阻止所有的流量通过利用反射攻击的开放的DNS递归器。在某些情况下，这可能是最佳行动方法。选择缓解机制和策略需依赖客观事实。

问：其他公司可从此次攻击得到哪些教训?

答：目前的DDoS 威胁很复杂，由大容量攻击和复杂应用层威胁构成。为了有效地解决我们目前看到的攻击，保护服务可用性，企业组织需要分层的 DDoS 防御。企业组织必须具有网络边界解决方案，以积极地处理隐秘、复杂的应用层威胁，还必须利用基于云的服务提供商提供DDoS 保护服务，以减轻大的攻击。理想的情况是这两个组件一起工作并提供完整、集成、自动化的保护系统，从而使其免受DDoS 威胁的影响。

企业组织还应知道，巨大的攻击可能超过服务提供商预设的智能缓解能力或导致服务提供商内部的通信流量堵塞 (或在其互连点)，而导致重大的附加损害(影响攻击者的非针对性服务)。在这些情况下，服务提供商可通过ACLs，S-RTBH，FlowSpec等来保护自己及客户。

对终端客户而言，应询问服务提供商具备多大的智能DDoS 缓解能力;服务提供商是否已在他们的网络上部署了BCP38/84 反欺骗系统;服务提供商是否部署了其它网络基础设施的当前最好实践，如Acl (iACLs) 基础设施和一般 TTL 安全机制 (GSTM) ;服务提供商是否已经在他们的网络上部署了 S/RTBH 或FlowSpec。