中国IDC圈12月28日报道，12月20-22日，第十一届中国IDC产业年度大典（IDCC2016）在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导，中国IDC产业年度大典组委会主办，中国IDC圈承办，并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会，之前已成功举办过十届，在本届大会无论是规格还是规模都"更上一层楼"，引来现场人员爆满，影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

会上，唯一网络的副总经理郑可君 出席IDC服务大会并为当天的安全运维分论坛做《DDOS的威胁与应对》主题演讲。

唯一网络副总经理 郑可君

以下是演讲实录：

今天我跟大家分享的课题是DDOS的威胁与应对。

我会从以下四方面展开。首先一起来看一下当今互联网的安全形势。据数据统计，2015年中国国家互联网安全事件的接收已经呈现一个成倍的逐年增长的态势。国家的互联网安全中心在2015年总共接收到了境内外报告的网络安全事件达到了126916起，相较2014年答复增长了125.9%。上报了安全的事件类型主要包括网页仿冒、漏洞、篡改、后门、恶意程序等等，可以说现在互联网的安全形势已经是日益严峻了。

在上报的这些安全事件里面，由于中国的网民数量众多，互联网设备众多，安全事件相较以前增长速度会非常的快。在这些安全事件当中DDOS的攻击尤其引起了我们的关注。我们可以看到在2016年的前三个季度，中国已经成为了世界上排名第二的攻击源国家，由中国发起的DDOS的攻击已经达到了19024次。与此同时，我们反过来看中国同时也是处于攻击目标国家的第一梯队当中。

在所有DDOS的攻击当中，中国所受到的攻击占到全世界的17%。在这17%当中，我们可以看到游戏是DDOS攻击的重点目标，其他的还有电子商务、政府、金融，都是DDOS攻击的重灾区。

接下来我们来看一下网络安全世界的野蛮人——DDOS。为什么我们把DDOS称为网络安全世界的野蛮人吗？首先我们看DDOS攻击的主要动机是恶意竞争、敲诈勒索、实施报复，它攻击的特征就是快速高效、种类繁多、隐蔽性高。由于攻击很多来源都是僵尸网络以及互联网的肉机，造成我们在攻击的时候要溯源会非常的困难。DDOS的攻击目的，很多黑客是通过DDOS攻击作为掩护，在DDOS攻击的同时入侵到各位网站，或者生产经营系统的后台盗取一些经营的关键生产数据。第二方面就是黑客通过DDOS攻击进行一些技术实力的炫耀。第三个主要的目的是通过DDOS攻击来达到自己的政治立场的宣扬和表达。比如国外的很多在竞选的过程当中，很可能受到黑客的攻击，攻击竞选者个人主页、官网、活动的网站，通过这种行动来表达自己的政治立场。可以说DDOS攻击手段非常的粗暴。

接下来我们再重新认识一下DDOS。它的原理大家都很清楚，就是分布式的拒绝服务攻击，黑客会利用大量的傀儡机和僵尸机对目标发起请求，导致目标的网络出口链条拥塞，合乎忙于应付攻击请求而无法对外提供正常的服务。它攻击的特点是非常容易实施，现在网上面有很多可以免费的产生DDOS流量的小工具。供给的类型多；供给手段多样；源设备多样，大家知道随着互联网发展，智能终端越来越多，这些设备一旦进入互联网都可以被黑客利用产生DDOS攻击的流量。供给源数量庞大，我们在溯源的时候也会有很大的困难。

前两个月我好奇地去QQ上注册一个小号，我到处去搜DDOS攻击的价格，我大概加了四五个群，这四五个群里面在卖DDOS攻击流量，我就发现他们攻击的客户端确实是多种多样的，我加了四五个群里面，就没有一个是完全一样的攻击手段，这个价格有多少，大家知道吗？我记得最便宜的群里面卖的，包月不限时200G，只要一千多块钱。CC的价格稍微高一点，但也都是几百块钱的价格。我们前面提到DDOS实施起来非常容易，成本非常低廉，但是目前它对我们的网络安全造成相当大的破坏性。

接下来看DDOS攻击与防御的案例。首先在2014年9月份，黑客组织的攻击手段被曝光了，这个黑客组织主要通过大流量的DDOS攻击来攻击受害，它会通过电子邮件和电话的方式要求企业以比特币的方式换取赎金，这是在当时来讲比较新鲜，因为当时比特币刚推出来一段时间。我们观察这个DD4BC组织在攻击时候大流量已经达到了56G，平均的流量也到了13G左右，这个攻击直接导致客户的网络瘫痪，瘫痪之后他们会通过个社交媒体进行宣传，对公司的名誉和形象造成了非常大的损失。DD4BC的攻击流量非常大。对我们大多数的企业来讲进入互联网带宽只是十兆、百兆，但这种流量规模的攻击非常轻松地就可以把这些网站打垮。

针对这种类型的攻击，预防的措施主要有两点。要么把服务器托管在专业的、有抗D的IDC的机房。另外就是采购在线一站式的平台式抗D的服务，试用的企业主要是金融领域的机构，还有初创型的中小企业，还有政府网站。

我们再看第二个案例，在2016年的9月份，国际某著名安全研究机构也遭受了大流量的DDOS攻击，在这个时候，大家看整整过了两年，这个流量已经从56G翻到了665G，十几倍的增长，可以看到DDOS的趋势越来越迅猛了。当时这个流量已经创下了CDN服务商攻击流量新记录，面对巨额的费用和压力，Akamai只能选择把这个网站的服务下线了。这次的攻击也是典型的DDOS流量攻击，攻击的来源是Mirai僵尸网络，这个僵尸网络的特点也是目前来讲比较新型的攻击特点，它是通过控制互联网上面的智能摄像头产生DDOS攻击的流量，这是一种非常新型的攻击方式，大家知道现在很多摄像头，包括现在政府在推平安城市、智慧城市、智能城市，会在城市当中布很多的摄像头设备，这些设备很可能一安装上去之后就再没人维护了，只要它不坏，没有人会对这些设备的软件、平台、硬件进行升级，黑客一旦入侵到这个系统就可以控制成千上万，几千万甚至上亿的摄像头，通过这些摄像头产生互联网的DDOS攻击流量。对于这种超大流量的攻击，预防措施首先是在单节点接入的互联网节点，要预流足够的互联网带宽资源。其次我们还可以把业务分散到不同的业务节点上面，在每个业务节点上做流量清洗，等于是把业务分散，清洗的能力也分散，就好比带了防护的CDN的功能，适用的企业还是政府部门、游戏、电商、视频等等。

第三个案例，我们想跟大家分享一下，这是一个CC攻击的典型案例。在2013年的时候，国际著名的Bittorrnet服务器也受到大规模的CC攻击。这次的CC攻击Bittorrnet服务器受到了非常强大的攻击，这个攻击跟我前面讲的案例不同，它不是利用流量把服务打垮，而是通过向攻击目标服务器发送大量的请求，它只是请求的流量，这就有这么一个特点，就是攻击者自身消耗的资源非常少，但是能对攻击的目标产生非常巨大的伤害，有点像四两拨千金的效果。当时Bittorrnet受到攻击，每秒只有六千万次的请求。当时Bittorrent服务受到了巨大的影响，现在我们来看，CC攻击是DDOS攻击当中非常重要的，也是最难防御的一种类型，多年的CC攻防的经验告诉我们，目前对CC这种类型的攻击最有效的防御手段是通过硬件防火墙，加上软件抗C的防火墙进行双重的流量识别过滤，现在很多互联网安全厂商已经把这两样功能集中打包，作为一站式的安全抗D的服务。CC这种攻击的类型是在政府部门、电子商务、在线金融、游戏、视频等网站类的企业都有可能遇的到。

最后还想跟大家分享DDOS攻击的发展趋势与应对。随着这几年互联网的发展，特别是最近这几年，DDOS攻击无论是从攻击的规模、流量的大小、攻击的种类都产生了翻天覆地的变化，未来的DDOS攻击态势会更加的严峻。我们可以看到攻击的源头已经从原来的PC设备逐渐蔓延到智能设备，包括物联网方面的设备，攻击的源头数量变多了、种类也变多了。攻击的手段也不断地在推陈出新，其实是越来越难以防范。攻击的流量已经从原来最早的几个G的流量到几十G到上百G，现在过T的流量攻击也很常见，因为它攻击的成本非常低，实施起来非常的方便。我们还观察到了一个特点，它攻击的目标已经从单一的服务器慢慢地向互联网的基础服务提供者过渡，单点的服务能力、单点安全防护能力做到一定之后，黑客会觉得攻击效果不太好，最简单的方式就把攻击的目标转向互联网基础服务平台。

对于网站来说，互联网基础平台服务的就是DNS环节，接下来我通过几个案例跟大家回顾一下今年发生的两起关于DNS这块攻击的两个比较重要的案例。

首先在今年的5月，美国的NS1.com服务器受到了连续十天非常有针对性的大规模DDOS攻击。这个DDOS攻击主要是一个流量型的攻击，攻击的流量达到每秒钟六千万包的请求数，这个攻击者采用编程发送了一些劫机查询请求，这些查询请求的目标网站并不在NS1提供的服务客户名单当中，但是由于这些请求量巨大，黑客通过编程不断地发送这种查询的请求，瞬间就把NS1.COM搞垮了。这次攻击也是由前面提到的大量的物联网的设备组成攻击的源头、攻击流量大、持续时间长达十天，攻击直接针对DNS服务器，而不是针对下面一个或者某几个具体的网站，这四个攻击源也在东欧、俄罗斯、中国、美国这么几个国家和地区的僵尸网络当中不停地轮换，所以当时溯源也造成了非常大的困难。

第二个案例也是刚刚发生的，可能大家都还有点印象，就是在今年的10月份，美国著名的网站服务提供商DYN也受到了超大流量的攻击。在一天当时接连受到三波大流量的攻击，攻击直接导致整个美国东海岸的大部分网站受到了重大的影响，半个美国的网络都陷入了瘫痪。这次的流量攻击流量超过了1T，比前面讲到的所有案例都要多，它是由一个十万数量级别的僵尸网络发起，也是由物联网设备构成，攻击流量很大，目标非常明确就是针对DNS服务器。

我们做网站的安全防护有两个重要的部分，大家知道木桶原理，一个木桶能装水的容量其实由它最短的木板决定。在网站的安全防护当中，两个非常重要的点，一个是网站自身的抗D的安全防护，另一方面就是DNS这块的安全防护。在DNS的安全防护这块，其实现在已经有月多的网络服务提供商，有意识到DNS的重要性，我们也发现目前有接近5%的用户已经选择，或者已经考虑把域名，权威DNS服务器托管在不同的DNS域名解析提供商上面做一个备份，在主的服务器挂掉，我们还可以启用备用的DNS域名进行解析。

在现在互联网安全形势这么严峻的形态下，作为互联网的终端用户，我们应该怎么来应对呢？首先作为企业用户，我们可以通过重新引导的方式，获回受感染设备的控制权并加以保护。作为网站的所有者，应该建立一个备份计划，保证其站点的持续在线与可访问能力。作为云服务供应商，应当努力对抗规模更大的DDOS攻击。作为设备制造商，需要进一步关注设计安全性，保证互联网用户能够个放心地使用这些设备进行互联网接入。

作为互联网安全厂家也有三方面需要作出应对。首先是协同能力的输出，需要做到服务器抗D+DNS服务抗D+入侵检测并重，这三方面需要做一个有效的协同能力输出，能够随时做好处理多种类型网络攻击的准备。第二方面需要做到全网态势的感知，包括现在很多安全厂家都在做这块，实现全网攻防态势感知，监控整个互联网攻击情况，通过大数据分析，了解全面的威胁情况，采取有效应对措施。第三方面联合打造互联网安全联盟，将安全链条上下游的产业、安全企业进行整合，保持生态链健康可持续成长，形成共同打击黑色产业的安全联盟。

总的来讲，作为互联网安全服务的提供商，我们必须具备一站式的安全服务体系。面对DDOS越发凶猛的攻击态势，应对未来不仅是T级防御资源，更重要是协同能力的输出。面对市场纷纭的产品，用户的需求不再是单一的产品，而是一系列可以为用户解决问题的有效方案。

作为唯一网络来讲，我们也将不断地提升和完善自身云安全平台的性能和服务水平，大家知道唯一集团旗下还有两个重要的子公司，一个是DNS.COM，还有DDOS.COM，当时美国受到攻击的时候我们写了一篇文章，在DNS安全圈受到大家的认同。我们唯一集团会把上下游包括IDC的资源进行统一的整合，继续扩充IDC资源，我们计划逐步在华东、华北、台湾、香港、欧美等地建立节点和拓展业务，同时也会在国内继续寻求优质的安全资源，以互助共赢为核心，为国内企业的互联网信息安全提供有力支撑。

唯一网络希望跟在座各位合作伙伴、安全厂家及互联网用户们共同深入讨论合作，以应对未来互联网更多的DDOS猥亵，一起打造互联网信息安全核心生态圈！谢谢各位！