僵尸网络是一种由引擎驱动的恶意因特网行为:DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。DDoS攻击有多种形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的带宽,却不消耗应用程序资源。DDoS攻击并不是新鲜事物。在过去十年中,随着僵尸网络的兴起,它得到了迅速的壮大和普遍的应用。僵尸网络为DDoS攻击提供了所需的“火力”——带宽和计算机——以及管理攻击所需的基础架构。
DDoS规模、程度和复杂性都有新发展:2003年,由Arbor Networks客户发现的规模最大的持续DDoS攻击为 2.5Gbps。到了2007年,最大的持续攻击之规模已经超过40Gbps。让服务商感到更为棘手的是现在出现了一个新的情况,那就是常见的中等规模的“业余”攻击和使用成千万僵尸主机(zombie)进行的多GB“专业”攻击之间的差别正在逐步扩大。
Arbor Networks研究能力:Arbor Networks在服务商的安全领域内发挥着主导作用,全球90%的一级服务商和60%的二级服务商都是它的客户。Arbor充分利用这些关系,创建了可以同时进行数据收集和分析的平台,并提供了在全球服务商之间共享这些信息的方法。Arbor与其全球服务 商客户群合作,从100多家服务商那里实时收集因特网攻击数据,并与另外30多家服务商实时共享全球路由信息。此外,Arbor还创建了世界上最大的分布式“暗网”监测系统,可以对全球可路由的IP地址进行监控。这些可路由的IP地址上不应该有任何活动的主机。Arbor Peakflow和暗网检测系统联合收集的数据表明,只有Arbor才能“真正地”对构成互联网核心部分的骨干网内所传输的恶意数据获得全面的了解。由于这样独特的优势,Arbor在发布有关恶意软件、后门网上钓鱼和僵尸网络信息方面比起当今任何其他机构都更加领先。
威胁减除策略:为了减少大规模DDoS攻击带来的附带损害,服务商常常会阻断前往受攻站点的所有流量,以籍此阻断DDoS攻击。使用集成的威胁管理系统(TMS)设备,Arbor Networks客户可以仅阻断攻击流量,从而保持可用的服务和较高的客户满意度。Peakflow SP TMS使服务商能够在不中断合法流量的情况下识别和阻断网络和应用层攻击。Peakflow SP TMS能够提供具有高成本效益的网络和应用层威胁检测、减除和报告的功能,从而使服务商可以维护关键IP业务。最后,请求其他服务商帮助过滤流量也是非常必要的,因为当攻击规模达到每秒数十GB时,任何服务商都无法在处理这种攻击流量的同时还能维持正常的流量。这正是Arbor Networks能够在保护 服务商的网络中发挥重要作用的地方。
网络战正走向错误的方向:最近几年,具有政治动机的网络攻击制造了不少新闻并成为人们关注的焦点。从2007年对爱沙尼亚的攻击到最近由于俄罗斯采取军事行动而引发的对格鲁吉亚基础设施和网络的攻击,都表明了这一点。Arbor Networks研究发现,此类具有政治动机的攻击都不是国家支持的行为。Arbor Networks 认为,这些攻击是21世纪街头示威的一种形式,是那些对某项事业产生同情的人制造的网络中断,并非行政行为。
|