僵尸網(wǎng)絡(luò)是一種由引擎驅(qū)動(dòng)的惡意因特網(wǎng)行為：DDoS 攻擊是利用服務(wù)請(qǐng)求來(lái)耗盡被攻擊網(wǎng)絡(luò)的系 統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無(wú)法處理合法用戶的請(qǐng)求。 DDoS 攻擊有多種形式，但是能看到的最 典型的就是流量溢出，它可以消耗大量的帶寬，卻不消耗應(yīng)用程序資源。DDoS 攻擊并不是新鮮事 物。在過(guò)去十年中，隨著僵尸網(wǎng)絡(luò)的興起，它得到了迅速的壯大和普遍的應(yīng)用。僵尸網(wǎng)絡(luò)為 DDoS 攻擊提供了所需的"火力"- 帶寬和計(jì)算機(jī) - 以及管理攻擊所需的基礎(chǔ)架構(gòu)。

DDoS規(guī)模、程度和復(fù)雜性都有新發(fā)展：2003 年，由 Arbor Networks 客戶發(fā)現(xiàn)的規(guī)模最大的持續(xù) DDoS 攻擊為 2.5 Gbps。到了 2007 年，最大的持續(xù)攻擊之規(guī)模已經(jīng)超過(guò) 40 Gbps。讓服務(wù)商感到 更為棘手的是現(xiàn)在出現(xiàn)了一個(gè)新的情況，那就是常見(jiàn)的中等規(guī)模的"業(yè)余"攻擊和使用成千萬(wàn)僵尸 主機(jī)（zombie）進(jìn)行的多 GB"專業(yè)"攻擊之間的差別正在逐步擴(kuò)大。

Arbor Networks 研究能力：Arbor Networks 在服務(wù)商的安全領(lǐng)域內(nèi)發(fā)揮著主導(dǎo)作用，全球 90% 的一級(jí)服務(wù)商和 60% 的二級(jí)服務(wù)商都是它的客戶。Arbor 充分利用這些關(guān)系，創(chuàng)建了可以同時(shí)進(jìn) 行數(shù)據(jù)收集和分析的平臺(tái)，并提供了在全球服務(wù)商之間共享這些信息的方法。Arbor 與其全球服務(wù) 商客戶群合作，從 100 多家服務(wù)商那里實(shí)時(shí)收集因特網(wǎng)攻擊數(shù)據(jù)，并與另外 30 多家服務(wù)商實(shí)時(shí)共 享全球路由信息。此外，Arbor 還創(chuàng)建了世界上最大的分布式"暗網(wǎng)"監(jiān)測(cè)系統(tǒng)，可以對(duì)全球可路 由的 IP 地址進(jìn)行監(jiān)控。這些可路由的 IP 地址上不應(yīng)該有任何活動(dòng)的主機(jī)。Arbor Peakflow 和暗網(wǎng) 檢測(cè)系統(tǒng)聯(lián)合收集的數(shù)據(jù)表明，只有 Arbor 才能"真正地"對(duì)構(gòu)成互聯(lián)網(wǎng)核心部分的骨干網(wǎng)內(nèi)所傳 輸?shù)膼阂鈹?shù)據(jù)獲得全面的了解。由于這樣獨(dú)特的優(yōu)勢(shì)，Arbor 在發(fā)布有關(guān)惡意軟件、后門、網(wǎng)上釣 魚(yú)和僵尸網(wǎng)絡(luò)信息方面比起當(dāng)今任何其他機(jī)構(gòu)都更加領(lǐng)先。

威脅減除策略：為了減少大規(guī)模 DDoS 攻擊帶來(lái)的附帶損害，服務(wù)商常常會(huì)阻斷前往受攻站點(diǎn)的 所有流量，以籍此阻斷 DDoS 攻擊。使用集成的威脅管理系統(tǒng)（TMS）設(shè)備，Arbor Networks 客 戶可以僅阻斷攻擊流量，從而保持可用的服務(wù)和較高的客戶滿意度。Peakflow SP TMS 使服務(wù)商 能夠在不中斷合法流量的情況下識(shí)別和阻斷網(wǎng)絡(luò)和應(yīng)用層攻擊。Peakflow SP TMS 能夠提供具有 高成本效益的網(wǎng)絡(luò)和應(yīng)用層威脅檢測(cè)、減除和報(bào)告功能，從而使服務(wù)商可以維護(hù)關(guān)鍵 IP 業(yè)務(wù)。最 后，請(qǐng)求其他服務(wù)商幫助過(guò)濾流量也是非常必要的，因?yàn)楫?dāng)攻擊規(guī)模達(dá)到每秒數(shù)十 GB 時(shí)，任何服 務(wù)商都無(wú)法在處理這種攻擊流量的同時(shí)還能維持正常的流量。這正是 Arbor Networks 能夠在保護(hù) 服務(wù)商的網(wǎng)絡(luò)中發(fā)揮重要作用的地方。

網(wǎng)絡(luò)戰(zhàn)正走向錯(cuò)誤的方向：最近幾年，具有政治動(dòng)機(jī)的網(wǎng)絡(luò)攻擊制造了不少新聞并成為人們關(guān)注的 焦點(diǎn)。從 2007 年對(duì)愛(ài)沙尼亞的攻擊到最近由于俄羅斯采取軍事行動(dòng)而引發(fā)的對(duì)格魯吉亞基礎(chǔ)設(shè)施 和網(wǎng)絡(luò)的攻擊，都表明了這一點(diǎn)。Arbor Networks 研究發(fā)現(xiàn)，此類具有政治動(dòng)機(jī)的攻擊都不是國(guó)家 支持的行為。Arbor Networks 認(rèn)為，這些攻擊是 21 世紀(jì)街頭示威的一種形式，是那些對(duì)某項(xiàng)事業(yè) 產(chǎn)生同情的人制造的網(wǎng)絡(luò)中斷，并非行政行為。

概述

DDoS 攻擊是利用服務(wù)請(qǐng)求來(lái)耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無(wú)法處理合法用戶的 請(qǐng)求。DDoS 攻擊有多種形式，能看到的最典型的就是流量溢出，它可以消耗大量的帶寬，卻不消 耗應(yīng)用程序資源。DDoS 攻擊并不是什么新鮮事物。在過(guò)去十年中，隨著僵尸網(wǎng)絡(luò)的興起，它得到 了迅速的壯大和普遍的應(yīng)用。僵尸網(wǎng)絡(luò)為 DDoS 攻擊提供了所需的"火力"- 帶寬和計(jì)算機(jī) - 以 及管理攻擊所需的基礎(chǔ)架構(gòu)。大部分機(jī)器代碼庫(kù)都可以提供某種形式的 DDoS 能力。2006 年，我 們檢測(cè)發(fā)現(xiàn)，在我們所監(jiān)控的僵尸網(wǎng)絡(luò)中，大約一半網(wǎng)絡(luò)都曾經(jīng)發(fā)起過(guò)至少一次 DDoS 攻擊。

其中一部分 DDoS 攻擊似乎具有政治動(dòng)機(jī)，被攻擊者都是被認(rèn)為對(duì)攻擊者一方的某些人犯下了錯(cuò) 誤的對(duì)象。去年，愛(ài)沙尼亞政府和國(guó)家基礎(chǔ)設(shè)施就受到了長(zhǎng)達(dá)幾個(gè)星期的 DDoS 攻擊。這些攻擊 正好發(fā)生在愛(ài)沙尼亞發(fā)生反對(duì)俄羅斯的街頭示威期間。同樣的情況也發(fā)生在最近俄羅斯和格魯吉亞 發(fā)生的網(wǎng)絡(luò)戰(zhàn)中。在這些案例中，我們發(fā)現(xiàn)，大部分的 DDoS 攻擊背后都有僵尸網(wǎng)絡(luò)的支持和人 工在協(xié)調(diào)，某些組織的俄語(yǔ)論壇就對(duì)這些攻擊進(jìn)行了支持。但是，我們從未發(fā)現(xiàn)有任何證據(jù)證明所 謂俄羅斯政府部門對(duì)這些攻擊進(jìn)行支持的說(shuō)法。

我們最近看到的其他具有政治動(dòng)機(jī)的 DDoS 攻擊包括在 2008 年冬季選舉前奏中針對(duì)俄羅斯政治家 Gary Kasparov 及其政黨的攻擊。在這起攻擊事件中，網(wǎng)站被迫短暫關(guān)閉，使其用戶無(wú)法使用。然 而，這樣做好像并不能對(duì)政黨本身產(chǎn)生任何損害，也就是說(shuō)，這些攻擊更像是暴亂和示威，而不是 搶劫和掠奪。

政治性的 DDoS 事件不只是針對(duì)俄羅斯和歐洲的網(wǎng)絡(luò)。我們監(jiān)控的大部分攻擊來(lái)自美國(guó)，而且大 部分攻擊對(duì)象也是美國(guó)。從美國(guó)具有大量的地址空間來(lái)看，這也是合理的。過(guò)去，我們發(fā)現(xiàn)過(guò)與印 度和巴基斯坦沖突有關(guān)的 DDoS 攻擊，而最近,我們也發(fā)現(xiàn)過(guò)針對(duì)伊朗某些目標(biāo)的 DDoS 攻擊。

事實(shí)上，我們認(rèn)為最近的政治性 DDoS 攻擊是 21 世紀(jì)街頭示威的一種形式，是那些對(duì)某項(xiàng)事業(yè)產(chǎn) 生同情的人制造的網(wǎng)絡(luò)中斷，并非行政行為。

僵尸網(wǎng)絡(luò)和 DDoS 攻擊的這些新情況對(duì)網(wǎng)絡(luò)服務(wù)商會(huì)產(chǎn)生各種實(shí)質(zhì)性的后果。#p#

Arbor Networks 是如何獲取數(shù)據(jù)的

我們使用兩種方法來(lái)監(jiān)控 DDoS 攻擊。第一種方法是利用我們的 ATLAS（Arbor 威脅級(jí)別分析系 統(tǒng)）系統(tǒng)，該系統(tǒng)可以檢測(cè)骨干網(wǎng)流量，將全球 DDoS 統(tǒng)計(jì)數(shù)據(jù)聚合在一起。

ATLAS 的創(chuàng)新之處在于,它能夠使用一個(gè)可以提供分析和行動(dòng)信息的平臺(tái)將全球因特網(wǎng)攻擊信息匯 聚起來(lái)。然后，ATLAS 再使全球各服務(wù)商共享這些信息。只有借助于這種全面的透視能力、信息 和協(xié)作，服務(wù)商才能打擊僵尸網(wǎng)絡(luò)、DDoS 攻擊和其他惡意因特網(wǎng)行為帶來(lái)的災(zāi)難。

Arbor Networks 在服務(wù)商的安全領(lǐng)域內(nèi)發(fā)揮著主導(dǎo)作用，全球 90% 的一級(jí)服務(wù)商和 60% 的二級(jí) 服務(wù)商都是它的客戶。Arbor 充分利用這些關(guān)系，創(chuàng)建了可以同時(shí)進(jìn)行數(shù)據(jù)收集和分析的平臺(tái)，并 提供了在全球服務(wù)商之間共享這些信息的方法。

Arbor 與其全球服務(wù)商客戶群進(jìn)行合作，從 100 多家服務(wù)商那里實(shí)時(shí)收集因特網(wǎng)攻擊數(shù)據(jù)，并與另 外 30 多家服務(wù)商實(shí)時(shí)共享全球路由信息。此外，Arbor 還創(chuàng)建了世界上最大的分布式"暗網(wǎng)"監(jiān) 測(cè)系統(tǒng)，可以對(duì)全球可路由的 IP 地址進(jìn)行監(jiān)控。這些可路由的 IP 地址上不應(yīng)該有任何活動(dòng)的主機(jī)。

Arbor Peakflow 和暗網(wǎng)檢測(cè)系統(tǒng)聯(lián)合收集的數(shù)據(jù)表明，只有 Arbor 才能"真正地"對(duì)構(gòu)成互聯(lián)網(wǎng)核 心部分的骨干網(wǎng)內(nèi)所傳輸?shù)膼阂鈹?shù)據(jù)獲得全面的了解。由于這樣獨(dú)特的優(yōu)勢(shì)，Arbor 在發(fā)布有關(guān)惡 意軟件、后門、網(wǎng)上釣魚(yú)和僵尸網(wǎng)絡(luò)信息方面比起當(dāng)今任何其他機(jī)構(gòu)都更加領(lǐng)先。

我們收集數(shù)據(jù)的第二種方法是通過(guò)對(duì)僵尸網(wǎng)絡(luò)進(jìn)行主動(dòng)監(jiān)控、對(duì)發(fā)送到僵尸程序的命令進(jìn)行監(jiān)測(cè)， 并從中提取攻擊信息。雖然這兩種方法都不完整，但都是廣泛了解 DDoS 行為不可或缺的手段。 從監(jiān)測(cè)中我們還發(fā)現(xiàn)，這兩種方法可以阻斷某些攻擊的連接，也就是說(shuō)我們將永遠(yuǎn)無(wú)法跟蹤觀察因 特網(wǎng)上的所有 DDoS 攻擊命令。

對(duì) DDoS 攻擊意圖的估計(jì)通常是推測(cè)性的，而且往往是根據(jù)受攻擊對(duì)象的外部資料來(lái)進(jìn)行。DDoS 攻擊的動(dòng)機(jī)往往是對(duì)受攻擊者的某些行為的報(bào)復(fù)或憤怒，有時(shí)還包括勒索或懲罰性攻擊。過(guò)去幾 年，我們對(duì)全球成千上萬(wàn)種此類攻擊進(jìn)行了跟蹤，發(fā)現(xiàn)任何網(wǎng)絡(luò)都無(wú)法免受來(lái)自"業(yè)務(wù)端"的這種 攻擊。垃圾信息發(fā)送者或在線網(wǎng)絡(luò)釣魚(yú)團(tuán)隊(duì)可能會(huì)對(duì)研究人員發(fā)起攻擊，以阻止他們的工作。但是 我們更常見(jiàn)的是針對(duì)寬帶用戶或小型電子商務(wù)網(wǎng)站發(fā)起的各種小規(guī)模攻擊。更大規(guī)模和更復(fù)雜的攻 擊往往會(huì)涉及到對(duì)主要在線商業(yè)機(jī)構(gòu)的某種勒索。某些攻擊已導(dǎo)致商業(yè)機(jī)構(gòu)破產(chǎn)，因?yàn)楹笳邿o(wú)法處 理其客戶需求或支付帶寬費(fèi)用。當(dāng)然，最近我們還看到，具有政治動(dòng)機(jī)的攻擊有很大增加。

僵尸網(wǎng)絡(luò)對(duì)服務(wù)商網(wǎng)絡(luò)的影響

作為我們的《全球構(gòu)架安全報(bào)告》的一部分，Arbor Networks 每年都要對(duì)其全球客戶群進(jìn)行調(diào)查。 調(diào)查結(jié)果清楚表明，僵尸網(wǎng)絡(luò)及其在 DDoS 攻擊中作為引擎使用是當(dāng)今因特網(wǎng)服務(wù)商（ISP）網(wǎng)絡(luò) 面臨的一個(gè)最大的威脅。

DDoS 攻擊越來(lái)越專業(yè)化：雖然自 2000 年以來(lái)，中等規(guī)模的 DDoS 攻擊一直困擾著互聯(lián)網(wǎng)，但是 根據(jù)調(diào)查反饋者的報(bào)告，普通中等規(guī)模的"業(yè)余"攻擊和使用成千萬(wàn)僵尸主機(jī)（zombie）進(jìn)行的多GB"專業(yè)"攻擊之間的差別正在逐步擴(kuò)大。接受調(diào)查的大部分服務(wù)商都報(bào)告說(shuō)，僵尸軍團(tuán)的攻 擊無(wú)論在復(fù)雜性還是在協(xié)調(diào)性上都有了很大發(fā)展。

攻擊發(fā)展速度超過(guò) ISP 網(wǎng)絡(luò)發(fā)展速度：過(guò)去幾年，大部分一級(jí)和二級(jí)服務(wù)商都已完成了對(duì)骨干網(wǎng) 絡(luò)基礎(chǔ)構(gòu)架的大量投資 - 把鏈路從 OC12/48（2 Gbps）升級(jí)到 OC192（10 Gbps）。但是，接 受調(diào)查的服務(wù)提供商報(bào)告說(shuō)，曾經(jīng)遇到超過(guò) 24 Gbps 的持續(xù)攻擊速率，此數(shù)字超過(guò)最近升級(jí)的鏈 路容量的兩倍。

我們很快將會(huì)發(fā)布 2008 年的調(diào)查結(jié)果，今天我想與各位分享一個(gè)數(shù)據(jù)。在今年的報(bào)告中，有好幾 家服務(wù)商報(bào)告說(shuō)，他們?cè)?jīng)遭受超過(guò) 40 Gbps 的持續(xù) DDoS 攻擊?？傊?，DDoS 攻擊在繼續(xù)變得 越來(lái)越復(fù)雜，規(guī)模也變得越來(lái)越大。#p#

缺少執(zhí)法助長(zhǎng)網(wǎng)絡(luò)攻擊：如果您在街上示威，就有可能真正觸犯法律。但是如果您在因特網(wǎng)上進(jìn)行 示威，觸犯法律的機(jī)率會(huì)變得很小，法律對(duì)您會(huì)很有利。

在我們的報(bào)告中，幾乎沒(méi)有服務(wù)商會(huì)向執(zhí)法機(jī)構(gòu)舉報(bào)這些攻擊。不進(jìn)行舉報(bào)的原因很多。其中指出 的一些原因包括：

◆客戶隱私/要求

◆缺乏取證分析的詳細(xì)信息

◆攻擊太多無(wú)暇應(yīng)對(duì)

◆對(duì)報(bào)告是否有用心存疑慮

全世界大多數(shù)國(guó)家的執(zhí)法都是努力制止街頭犯罪，卻不管網(wǎng)絡(luò)犯罪，這是一個(gè)事實(shí)。那些干壞事的 人很清楚這一點(diǎn)，所以他們不斷地把他們的行為轉(zhuǎn)向因特網(wǎng)所代表的安全空間。

DDoS減除策略

DDoS 攻擊永遠(yuǎn)無(wú)法被阻斷，這是由因特網(wǎng)的性質(zhì)所決定的。即使沒(méi)有僵尸網(wǎng)絡(luò)和各種復(fù)雜的工 具，任何人都可以鼓勵(lì)其他人去訪問(wèn)某一網(wǎng)站，從而有效地發(fā)生請(qǐng)求溢出，破壞網(wǎng)站的穩(wěn)定性。我 們無(wú)數(shù)次看到過(guò)使用"點(diǎn)杠效應(yīng)（Slashdot effect）"進(jìn)行攻擊的例子。同樣是在愛(ài)沙尼亞和韓 國(guó)，就發(fā)生過(guò)煩躁民眾向攻擊對(duì)象發(fā)送大量請(qǐng)求，導(dǎo)致服務(wù)被迫中斷的情況。然而，我們可以對(duì)攻 擊進(jìn)行管理，對(duì)基礎(chǔ)構(gòu)架的配置進(jìn)行更改，避免其在此類攻擊中被濫用。

就象 20 世紀(jì) 90 年代采取的協(xié)同行動(dòng)，通過(guò)更改默認(rèn)的路由器設(shè)置來(lái)阻斷"Smurf"攻擊一樣，開(kāi) 放的遞歸式 DNS 服務(wù)器會(huì)對(duì)因特網(wǎng)的基礎(chǔ)構(gòu)架造成威脅，因?yàn)樗鼈兛梢杂脕?lái)進(jìn)行 DNS 放大攻擊。 發(fā)現(xiàn)并配置好這些設(shè)施是一個(gè)重大的挑戰(zhàn)。在這方面幾乎還沒(méi)有取得任何進(jìn)展。

如果流量發(fā)生明顯的變化，則可以在入侵點(diǎn)對(duì)其進(jìn)行大規(guī)模的攔截，這樣對(duì)正常流量的中斷最??； 例如，在上游路由器處對(duì)所有 ICMP 回顯請(qǐng)求進(jìn)行過(guò)濾可以阻斷 Ping 泛洪攻擊。即使攻擊者向被 攻擊對(duì)象發(fā)送隨機(jī)數(shù)據(jù)包，具有這種特征的"異常"流量也能夠被安全攔截，從而減少帶寬的使用。

除非端點(diǎn)能夠?qū)?Akamai 等大型分布式主機(jī)的基礎(chǔ)構(gòu)架進(jìn)行訪問(wèn)，否則很難在 DNS 層面上采取行 動(dòng)來(lái)挫敗 DDoS 攻擊。為此，它們可以把攻擊流量分散到多個(gè)高度互連的節(jié)點(diǎn)上，從而針對(duì)攻擊 者筑起一道防護(hù)欄。除非把 DNS 條目完全下載到本地，否則 DNS 條目的短存活時(shí)間（TTL）值對(duì) 挫敗攻擊并沒(méi)有幫助，因?yàn)楣粽呖偪梢岳帽还魧?duì)象的 IP 地址作為目標(biāo)。

對(duì)付大型 DDoS 攻擊最成功的策略是采用多向量方法。如果可以識(shí)別泛洪源 IP 地址，則可以在源 地址端把它們關(guān)閉，或者如果無(wú)法聯(lián)系服務(wù)商，則可以使用路由方法在通向網(wǎng)絡(luò)途中阻斷其流量（通過(guò)在路由器上執(zhí)行"單播反向路徑轉(zhuǎn)發(fā)"[Unicast Reverse Path Forwarding] 來(lái)實(shí)現(xiàn)）。根據(jù) 攻擊的不同類型，也可以采用 SYN 代理等其他防護(hù)技術(shù)。此外，還可以使用高速線路過(guò)濾設(shè)備來(lái) 中斷額外流量或?qū)⑵湟?guī)?？s小到可接受的水平。

Arbor Networks 應(yīng)用智能和威脅減除

使用 10 Gbps Arbor Peakflow SP 威脅管理系統(tǒng)（TMS）設(shè)備的 Peakflow SP 是第一個(gè)能夠廣泛 集成網(wǎng)絡(luò)級(jí)智能和運(yùn)營(yíng)商級(jí)威脅管理的平臺(tái)。Arbor Peakflow SP TMS 是一種針對(duì)多服務(wù)融合式網(wǎng) 絡(luò)的應(yīng)用智能設(shè)備。它可以增強(qiáng)全網(wǎng)事態(tài)感知能力，并通過(guò)將高水平的威脅識(shí)別能力與數(shù)據(jù)包級(jí)分 析相結(jié)合，可更為迅速地采取措施。它可以補(bǔ)充和完善 Peakflow SP 的其它清洗技術(shù)，包括指紋 共享、邊界網(wǎng)關(guān)協(xié)議（BGP）黑洞路由選擇、BGP 流規(guī)范和對(duì)第三方產(chǎn)品的支持。

為了減少大規(guī)模 DDoS 攻擊帶來(lái)的附帶損害，服務(wù)商常常會(huì)阻斷前往受攻站點(diǎn)的所有流量，以籍 此阻斷 DDoS 攻擊。使用集成 TMS 設(shè)備，Arbor Networks 可以僅阻斷攻擊流量，從而保持可用的 服務(wù)和較高的客戶滿意度。Peakflow SP TMS 使服務(wù)商能夠在不中斷合法流量的情況下識(shí)別和阻 斷網(wǎng)絡(luò)和應(yīng)用層攻擊。Peakflow SP TMS 能夠提供具有高成本效益的網(wǎng)絡(luò)和應(yīng)用層威脅檢測(cè)、減 除和報(bào)告功能，從而使服務(wù)商可以維護(hù)關(guān)鍵 IP 業(yè)務(wù)。

Arbor 的領(lǐng)導(dǎo)作用促進(jìn)服務(wù)商之間的交流

大規(guī)模的 DDoS 攻擊不僅會(huì)影響既定的受攻擊對(duì)象，而且會(huì)影響到可能正在使用同一共享網(wǎng)絡(luò)服 務(wù)的其他用戶。Arbor Networks 在建立"指紋共享聯(lián)盟"等自動(dòng)進(jìn)程上發(fā)揮了重要作用。"指紋共 享聯(lián)盟"是跨公司、大陸和海洋的一個(gè)打擊網(wǎng)絡(luò)攻擊活動(dòng)的全球電信公司聯(lián)盟。Arbor Networks 向 Peakflow SP 添加了指紋共享功能，允許各公司在不泄露任何競(jìng)爭(zhēng)性信息的情況下自動(dòng)共享攻擊指 紋。

Peakflow SP 通過(guò)從網(wǎng)絡(luò)中的設(shè)備收集數(shù)據(jù)來(lái)完成這一功能，然后把數(shù)據(jù)相互關(guān)聯(lián)起來(lái)，以利于服 務(wù)商為網(wǎng)絡(luò)創(chuàng)建基線和檢測(cè)異常偏差，并把偏差標(biāo)記為異常。隨后，系統(tǒng)將決定異常情況是合法的 瞬時(shí)擁塞（例如在線事件發(fā)生期間）還是惡意攻擊。網(wǎng)絡(luò)管理員隨即決定是否對(duì)其進(jìn)行減除或保 留。

如果確認(rèn)是惡意攻擊，Peakflow SP 就會(huì)產(chǎn)生指紋，服務(wù)商可以通過(guò)選擇對(duì)等體自動(dòng)安全地對(duì)其進(jìn) 行共享。網(wǎng)絡(luò)管理員可以完全控制誰(shuí)能夠接收共享指紋，且網(wǎng)絡(luò)無(wú)需相鄰。指紋接收者在接收到發(fā) 送過(guò)來(lái)的指紋時(shí)，可以選擇接受或拒絕共享請(qǐng)求。

結(jié)論

近年來(lái)，僵尸網(wǎng)絡(luò)已成為推動(dòng)惡意因特網(wǎng)行為發(fā)展的主要?jiǎng)恿Α＝┦W(wǎng)絡(luò)已變得越來(lái)越復(fù)雜，規(guī)模 也變得越來(lái)越大。同時(shí)，它們已被應(yīng)用于垃圾郵件、網(wǎng)絡(luò)釣魚(yú)和 ID 竊取等不斷擴(kuò)大的各種方法 中。最近，僵尸網(wǎng)絡(luò)還被用于發(fā)起 DDoS 攻擊，成為政治示威的一種形式。雖然，我們還沒(méi)有看 到國(guó)家支持的網(wǎng)絡(luò)攻擊，但是大多數(shù)政府認(rèn)為兩個(gè)政府之間的此類因特網(wǎng)沖突是不可避免的。

鑒于此，解決僵尸網(wǎng)絡(luò)問(wèn)題是服務(wù)商面臨的第一安全要?jiǎng)?wù)。 無(wú)論是通過(guò)"指紋共享聯(lián)盟"內(nèi)的創(chuàng)新和協(xié)作，還是通過(guò)我們對(duì) ATLAS 的研究能力及我們的安全

專家團(tuán)隊(duì)，Arbor Networks 都將繼續(xù)發(fā)揮關(guān)鍵作用，幫助服務(wù)商確保其網(wǎng)絡(luò)的安全性、可用性和盈利性。

【編輯推薦】

1. 云安全服務(wù)：WAF和DDoS攻擊預(yù)防
2. 卡巴斯基：僵尸網(wǎng)絡(luò)每日廣告贏利2000美元
3. 僵尸網(wǎng)絡(luò)的清除：檢測(cè)僵尸網(wǎng)絡(luò)感染并防止其再次滲透
4. 僵尸網(wǎng)絡(luò)被粉碎 尋找背后故事