解决方案

超大异常流量攻击的防御思路探讨

刘东鑫 何明 汪来富 中国电信

      异常流量攻击是分布式拒绝服务（DDoS）攻击的一种，其   流量攻击的反射器；理论上，全球互联网中开启了开放服务的
本质上是带宽型攻击，它通过在网络中发送大流量的数据包，         公共服务器都可以被攻击者使用，而公共服务器的数量惊人；
消耗极大的网络带宽资源。                        反射器的流量放大效果可以高达上千倍，效果非常明显。从以
                                    上的3个特征我们可以看出，超大异常流量攻击属于反射型流量
      随着互联网的快速发展，攻击手段不断演进，超大异常流     攻击的其中一种，而后两个特征是导致异常流量攻击纪录呈现
量攻击方式已经呈现蔓延趋势。2013年3月，欧洲反垃圾邮件       出快速增长趋势的重要原因。
组织Spamhaus遭受了有史以来最大的异常流量攻击，被《纽约
时报》称为“前所未有的大规模网络攻击”，其攻击强度达到             超大异常流量攻击的特征分析
300Gbit/s，攻击强度以3倍以上快速增长，如图1所示。2014
年2月，欧洲云计算安全公司CloudFlare遭遇的攻击流量的峰值        1.典型案例分析
超过了400Gbit/s，快速大幅地刷新了异常流量攻击的相关历史          2013年3月，欧洲反垃圾邮件组织Spamhaus遭受了时间长达
记录。                                 1周、流量峰值高达300Gbit/s的异常流量攻击，甚至影响到了
 图1 2010—2013年全球异常流量攻击的流量峰值统计       整个欧洲互联网的正常运营。在这次攻击事件中，攻击者向互
                                    联网上开放的域名系统（DNS）服务器发送对ripe.net域名的解
      文中探讨的超大异常流量攻击主要包含以下特征：攻击者     析请求，并将源IP地址伪造成Spamhaus的IP地址。DNS请求数据
主要利用了互联网中基于用户数据报协议（UDP）开放服务作为       的长度约为36字节，而响应数据的长度约为3000字节，这样攻
                                    击者利用DNS服务器就可以轻松地将攻击流量放大近100倍。进
                                    一步地，攻击者使用了约3万台开放DNS服务器，再加上一个能
                                    够产生3Gbit/s流量的小型僵尸网络，就完成了一次创纪录的异
                                    常流量攻击事件。最后，借助云安全公司CloudFlare位于全球
                                    的20多个彼此独立的流量清洗中心，才得以缓解此次攻击。
                                          本次攻击事件让业界意识到：如DNS等公共服务的协议漏
                                    洞是互联网的巨大安全隐患，如果不加以治理，未来可能会爆
                                    发更大规模的DDoS攻击。令人遗憾的是，这一担忧很快成为现
                                    实。
                                          2014年2月，CloudFlare公司遭受峰值流量高达400Gbit/s
                                    的异常流量攻击，这导致该公司在欧洲的业务受到严重干扰，
                                    甚至使美国互联网的一些基础设施也受到了影响。与Spamhaus
                                    遭受的异常流量攻击类似，攻击者利用一个小型的僵尸网络

52 网络电信 二零一六年四月