DDoS防御进入“云”清洗阶段

【.com 综合消息】当前，大规模复杂的、混合的DDoS攻击愈演愈烈，这对于网络资源的保护提出了新的挑战。由于企业向云计算模式转移的步伐越来越快，数据中心作为大量虚拟数据的存储地，已经成为DDoS的重要攻击目标，这种单点攻击所产生的危害程度远远大于那些直接受攻击对象。

DDoS攻击移师云计算

《Arbor第五期全球互联网基础设施安全年报》通过对北美洲、南美洲、欧洲、非洲和亚洲的132家一级、二级和其他IP网络运营商的调查显示：互联网服务运营商遇到的DDoS攻击达到49 Gbps，相对于2008年只增长了32%，与2007年相比增长了100%，是2001年的100倍。DDoS攻击正在转移至云计算，攻击规模仍在扩大，但增速减缓，互联网架构和运营面临困境。

由于网络设备以及传统的边缘安全技术，例如，防火墙、入侵检测系统由于自身不能提供足够的DDoS保护。面对这些不可避免且日益增长的网络威胁，网络运营商在寻找通过最优现行方法（BCP）保护网络不受攻击的方法。BCP包括网络架构最优方法、主机最优方法和部署DDoS专用的异常检测和抵御方案，例如思科Clean Pipes清洗中心解决方案。

与传统的DDoS防御技术相比，Clean Pipes解决方案能够准确识别出流向关键任务主机及应用程序的合法流量和恶意流量。准确阻挡恶意流量，同时让合法流量通过，保证商业、服务运作正常。

随着DDoS攻击的不断演变，思科Clean Pipes解决方案也在同步迅速发展。从思科Anomaly Guard Appliance开始的1Gbps抵御容量，到之后的Anomaly Guard Module（AGM）可以达到每个模块3Gbp抵御容量，而多个AGM 模块更是可以提供10+ Gbps的防御保护。

鉴于云计算网络环境的复杂性与攻击变化的多样性，思科决定停止对Guard模块继续研发，转而与长期合作的互联网顶级流量分析者Arbor公司进行合作，通过集成路由与安全技术实现异常流量（主要是DDoS）“云”清洗系统，将Clean Pipes解决方案升级到了2.0版本。在Clean Pipes 2.0中，Arbor Peakflow SP 威胁管理系统（TMS）将成为Guard的升级方案。

“云”清洗防御DDoS

信息安全知名博客 赛道（www.sectao.net）指出：回顾Anti-DDoS解决方案的发展过程可以发现，在2000年时互联网刚刚兴起，用户通常采用DDoS防火墙即可有效抵御攻击。而在2005年，随着Web 2.0的蓬勃发展，托管服务安全供应商（MSSP）成为了那一时代的最佳解决方案。如今进入了云计算时代，通过SaaS（安全既服务）的方式实现“云”清洗将成为最有效的解决方案。

Arbor和思科的合作从2000年就开始了，早在Clean Pipes 1.0 和 1.5.中，Arbor Peakflow SP产品用于攻击检测。在Clean Pipes 2.0中，Arbor Peakflow SP 将被用于异常流量检测，而TMS则用于对DDoS攻击流量的手术式清洗，两者结合系统性的实现“云”清洗。

简而言之，在Clean Pipes 2.0中，Arbor Peakflow SP是一个流量采集器。通过多个采集器的流量对比，识别DDoS攻击，同时确定攻击特性。从技术角度来看，Arbor Peakflow SP是一种基于Netflow的异常流量检测设备。它从网络中的路由交换设备中获取Netflow信息，不断地基于Netflow统计表建立合法流量基线模板。通过流量与基线模板相比较，任何偏差都会被作为异常情况被识别和警报，从而进一步采取防御措施，包括通知网络管理人员，或启动攻击抵御设备的DDoS保护功能。

当网络在正常情况下运行时，Netflow会产生大量的网络流量数据分析图，并建立基线模型，用于流量异常检测。当遭受到DDoS攻击时，Netflow信息统计表将会显示出与基线模型的偏差，这就是受到攻击的第一个信号。通过更多详细的流量信息，可以进一步分析流量模式和行为。一旦异常流量被识别，Anti-DDoS“云”清洗系统可以通过自动或手动的方式启动DDoS防御策略。

当Netflow应用于Anti-DDoS“云”清洗系统时，NetFlow常常被部署在SP或者企业网络的边缘，监控边缘以及对等接口的带内流量，因为对于大部分攻击，这些是典型的入口点。路由器会保留在线NetFlow缓存区跟踪当下流量。IP流量信息从NetFlow缓冲区中输出，然后进入外部采集器做进一步分析。

图：DDoS防御已经进入到第三阶段—“云”清洗  

Frost & Sullivan专业评论发文DDoS清洗救援行动 “DDoS Mitigation to the Rescue” ，文中指出：鉴于Arbor独有的运营商级部署与ATLAS威胁可见性的经验数据积累，思科决定公开推荐Arbor作为Guard清洗中心客户的升级解决方案。

第三代基于”云”计算的清洗中心主要四大特点：

一：智能检测分析系统与清洗中心一体化，基于运营商级的全网监控系统统一控制流量的流向并决定清洗行动。提高了预见性与准确性。

二：”云”清洗系统针对应用层的攻击防护具有特别设计包括（DNS， HTTP， SIP 等），并率先支持下一代IPv6的网络环境。

三：”云”清洗系统具有异常流量的溯源能力并结合ATLAS威胁数据库与指纹机制实时防范最新攻击，包括零日Zero-day攻击；

四：”云”清洗系统针对被保护对象的自服务门户功能为运营商大范围提供异常流量清洗服务提供了基础，改善了购买DDoS服务的用户体验。