znO3R535/L}"https://www.dg9.com.cn/k/sheji/" target="_blank" class="keylink">设计之初,对安全问题考虑不足。运营商作为互联网产业的一个关键链条,应对相关的技术标准演进保持密切关注,及时推动网络技术的投资建设;同时,应加强与其他运营商、国家网络安全中心等部门的网络安全态势信息共享,提高对未知攻击的及时响应能力。长期来看,建议采取以下策略:
(1)密切关注包括IPv4和IPv6在内的源地址过滤技术发展动态,如BCP38/84、源地址验证架构(SAVI)等。低成本、易维护、易管理的虚假源地址过滤技术一直是运营商的关注焦点,有助于从根本上消除反射型的流量攻击。
(2)联合产业链的其他厂商,推动现有各种基于UDP的公共服务应用协议的标准修改,降低公共服务器沦为攻击放大器的风险。修改的思路包括:在现有基于UDP的应用协议基础上构建session状态,改善流量的对称性,加入或增强认证能力以实现一定程度的访问控制。最终,使得应用协议的BAF极大地降低,超大异常流量攻击从而将不再具有“超大流量”属性。
超大异常流量攻击所代表的是一个跨行业、跨地区、跨国界的复杂安全问题,不可能由哪一方面单独解决。互联网及其基础设施的安全运行依赖于产业链条上每个参与者的长期共同努力和紧密配合。
4 结束语
近年来,随着基于云计算的超大型互联网数据中心(IDC)的纷纷落地,巨大的流量汇聚特性已经给网络设备带来较大的扩容和异常流量防护压力,而在如Spamhaus、CloudFlare所遭受的超大异常流量攻击面前,互联网基础设施所面临的防护压力被极度放大。随着产业界对开放式公共服务器的安全加固,攻击者可利用的公共服务器资源将逐步减少,其攻击思路将转为挖掘新的可用于流量反射放大的应用协议,例如BitTorrent、Kad等等。以“反射、放大流量”为特性的超大异常流量攻击仍将在攻与防的矛盾中不断发展,对它的安全防御仍有待在实践中检验和不断完善。
致谢
感谢中国电信网络安全实验室的肖宇峰、罗志强和沈军等同事的帮助,他们对文章的撰写给予了充分的支持和中肯的建议。
参考文献
[1] CHRISTIAN R. Amplification Hell: Revisiting Network Protocols for DDoS Abuse [C]// Network and Distributed System Security Symposium, San Diego, California, 2014
[2] 王帅等. 超宽带网络安全体系及关键技术研究[J]. 电信科学, 2013, (8): 257-261
[3] 关于警惕近期多发NTP反射放大攻击的预警通报[EB/OL] http:///publish/main/8/2014/20140314085001237248948/20140314085001237248948_.html