遏制僵尸网络 DDoS攻击不是“绝症”

    新闻事件回放

　　2006年12月20日，亚洲最大机房—网通北京亦庄机房遭受了最严重的攻击。当天，最高攻击流量超过12G，而亦庄机房的带宽约为7G，这造成了机房的间歇性瘫痪。

　　亦庄机房请求CNCERT/CC协助进行调查，据CNCERT/CC预估，黑客此次至少同时调集了2万台机器对亦庄机房进行攻击，这是CNCERT/CC所见过的国内最大黑客攻击案。

　　在这起事件里，由2万台机器所组成的僵尸网络成为了黑客手中最“得力”的工具。僵尸网络已经成为令人头痛的问题，就在上期《网络世界》的一篇文章中，微软公司的Internet安全执法小组高级律师就认为，僵尸网络由于其集中的力量，已经成为发生严重计算机犯罪的温床，是当前最大的威胁。早在2004年，国内就发生了首例僵尸网络攻击案，一名唐山的黑客操控6万台电脑组成的僵尸网络对北京一家音乐网站进行了连续三个月的分布式拒绝服务（DDoS）攻击，造成经济损失达700余万元。

　　僵尸网络难以根除

　　僵尸网络实际上是垃圾邮件、病毒和特洛伊木马发展的最终结果。所谓僵尸网络，就是黑客利用僵尸程序控制大量互联网用户的计算机，这些计算机就像“僵尸”一样被黑客所操纵，随时按照黑客的指令展开DDoS攻击或发送垃圾信息，而真正的用户却毫不知情，就仿佛没有自主意识的僵尸一般。成千上万台被感染的计算机组成的僵尸网络，可以在统一号令下同时对网络的某个节点发动攻击，从而形成极强的破坏力，成为一支网络上可以用于进行各种破坏活动的力量。

　　制止僵尸网络的办法之一就是让ISP出面来查找恶意行为并铲除它们。最近，英国电信宣布将使用来自某公司的产品和服务来检测向外发送的垃圾邮件。另外，还有很多协同捕获僵尸网络的工具也正在被开发出来。

　　ISP们利用的另一项技术是：让各ISP公司和其他公司结合成网络，并与享有声望的安全公司共同分享关于僵尸计算机（bots）的信息，并将这些数据与他们自己内部的数据进行协调。

　　通过使用这些数据，系统能够在bots登录互联网或者发送电子邮件的时候，将其识别出来，继而使用网络访问控制技术，将系统隔离在一个单独的子网里。此时用户会被提醒要注意一些问题，网络会提供一些资源来修复用户的机器，或是登录时网络要求其下载一些工具，以确保安全性，同时网络会要求他们进行操作系统升级。

　　但是研究僵尸网络的专家们依然感觉不乐观，因为僵尸网络是如此庞大和复杂，很难将其打败。一位专家表示，僵尸网络已经发展到了不需要寻找和记下任何命令和控制的地步。而在过去，命令和控制曾经是脆弱的一个环节。如今，有足够的冗余和可替代的控制渠道可以使得僵尸网络能够生存下去。

　　尽管每个ISP只要使用正确的工具都能够将自己的网络清理干净，但是人们还是不得不担心。事实上，在这场较量中，找到工具并不是什么难题。难题在于，与此同时ISP也对自己的用户关上了大门。另一方面，即使诸如此类的工具能够被广泛使用，它们仍旧不会普及到足以清除僵尸计算机的程度。因为僵尸计算机的数量实在是太多了，而且它们反应迅速、难以对付。

　　 尽管境况不乐观，但我们还是可以从几个方面入手来遏制僵尸网络：

　　● 个人防范。对于可能成为“犯罪帮凶”的个人电脑用户，应该增强安全意识并了解基本的安全知识，及时更新软件补丁，并安装个人防火墙等安全软件，尽量避免使自己的计算机成为僵尸网络的一部分。

　　● 保证服务器安全。由于管理方面的问题，众多在IDC机房中的中小公司服务器系统往往得不到很好的加固与维护，容易被攻击者所利用，而且此类服务器由于性能高，又直接连接在有高带宽资源的链路当中，当其被黑客利用时，破坏力更大。

　　● 从主干网络上入手。由于僵尸网络是综合传播的结果，阻挡僵尸网络，应从主干网络上入手，才能获取最佳的效果。在骨干链接上过滤恶意编码可以显著减少国内与国际骨干网络的负载，从而可以大量节省成本。

　　● 携手合作。对僵尸网络的打击，需要如CNCERT、公安部、专业安全公司、运营商等多部门和企业来进行配合工作。同时通过在运营商以及最终客户端进行防护与缓解，才有可能从源头上对僵尸网络进行遏制。

　　DDoS攻击不是“绝症”

　　发动DDoS攻击是僵尸网络最大的“用途”之一，对亦庄机房的攻击就是一次典型的DDoS攻击。据绿盟科技解决方案中心抗拒绝服务系统产品市场经理韩永刚介绍，在世界范围内，DDoS攻击所造成的损失连年排在网络安全问题的第二位，仅次于蠕虫和病毒。这是因为发动DDoS攻击越来越容易，而且随着信息产业与互联网的不断发展，从理论上讲，黑客有可能掌握的资源是没有上限的。而现在获得DDoS攻击资源的成本越来越低，甚至有人把提供攻击资源作为新的牟利方式。

　　

　　由于国内的互联网发展迅速，连接网络的主机与服务器越来越多，而目前国内的网络安全意识总体水平还不够高，这就造成了有大量的网络资源可以被攻击者所利用。自从2006年年中开始，DDoS攻击在国内呈现出越来越疯狂的趋势。以前700M、800M的攻击就是很大规模了，但近期的攻击事件表明，DDoS攻击已经进入到一个新的规模—n个G的时代。目前，接近1G的攻击在各地时常发生，而3～5个G、最多10G以上的攻击都开始出现。当攻击量到达了这个程度，攻击所造成的影响就不再是针对具体的单个目标了，而是整条链路都会被堵死，所以链路的其他使用者也无法幸免。网通亦庄机房碰到的就是这样的问题，海量的DDoS攻击最终影响的将是运营商的基础网络自身。

　　那么DDoS攻击会不会成为网络的“不治之症”？答案是否定的，也就是说我们还不至于太过悲观绝望。比较好的防DDoS攻击产品可以实现DDoS异常流量检测、DDoS攻击净化防护、取证与数据分析，从而形成了一套完整的解决方案。如果在亦庄机房部署防DDoS攻击产品，可以避免此次事件的发生。而产品的部署方式也很有讲究。对于如此大流量的攻击，普通防DDoS攻击产品的串联方式肯定是行不通的，而是需要采用旁路集群方式，将多台防DDoS攻击设备进行集群配置，再加上基于流量牵引的旁路技术，将攻击流量牵引至多台设备组成的“泄洪区”进行流量净化，净化的同时又不干扰其他正常流量的经过。这样将对海量DDoS攻击起到很好的缓解与抑制作用，保障IDC的正常运行。

　　还有更理想的防DDoS攻击部署方式，就是在最终用户到运营商的网络中进行多级部署，在基础链路（如城域网）上部署设备集群，成为防DDoS攻击的基础；之后再在重点地区如IDC或大客户接入处进行重点细粒度的部署，形成多层次的梯度防护，这样才能真正有效地解决DDoS攻击问题。