2014年6月2日,美國司法部和FBI宣布,經(jīng)與多國警方及安全公司聯(lián)手,成功摧毀了GameOver Zeus僵尸網(wǎng)絡,并以入侵電腦、有線網(wǎng)絡欺詐、銀行欺詐和洗錢等罪名對幕后黑客提起刑事訴訟。
最早出現(xiàn)于2011年9月的GameOver Zeus是Zeus僵尸網(wǎng)絡的變種,它摒棄了Zeus基于HTTP的集中控制架構,采用P2P架構,比Zeus更加隱蔽。GameOver Zeus通過垃圾郵件或釣魚網(wǎng)站傳播,全球受其感染的電腦在50~100萬臺之間。GameOver Zeus一旦植入個人電腦,就會搜集受害者的銀行賬戶密碼信息,接收控制端的指令將這些信息傳回給幕后的犯罪頭目,最后將用戶賬戶里的錢搬到海外賬戶。FBI估計,GameOver Zeus已造成全球超過1億美元的損失,這也是FBI及合作業(yè)者對付過的最復雜的僵尸網(wǎng)絡。
網(wǎng)絡攻擊泛濫:云數(shù)據(jù)中心安全堪憂
這僅僅是冰山一角,事實上僵尸網(wǎng)絡已經(jīng)變得更易擴展,平臺更趨于多樣性。Windows不再是僵尸網(wǎng)絡感染的唯一平臺,很多流行僵尸趨于選擇Linux、Mac、Apple iOS、Android平臺寄宿,越流行或者越有價值的應用,感染的幾率越大。比如2013年中期開始流行的Apple iOS和Android版本的“Flappy Bird”游戲,在很短的時間內(nèi)就出現(xiàn)了數(shù)百個克隆版本,其中80%包含惡意代碼。
傳統(tǒng)數(shù)據(jù)中心的托管服務器經(jīng)常疏于監(jiān)管,淪為發(fā)起超大流量DDoS攻擊的僵尸。云數(shù)據(jù)中心同樣不安全,Distil Networks發(fā)布的《The Bad Bot Landscape Report Q1 2014》指出,在Amazon云流量中79.18%是惡意Bot的攻擊流量。僵尸網(wǎng)絡的泛濫呈現(xiàn)增大的趨勢,同時更善于偽裝,商業(yè)趨利目的也更加明確。僵尸網(wǎng)絡的網(wǎng)絡行為最常見的危害就是DDoS攻擊,DDoS攻擊具備高度模擬互聯(lián)網(wǎng)訪問行為的特點,以防止安全設備的追蹤和過濾。
DDoS攻擊:影響遠甚于其它任何網(wǎng)絡攻擊
DDoS攻擊對互聯(lián)網(wǎng)業(yè)務的影響要遠比其它任何網(wǎng)絡攻擊猛烈。隨著云計算的普及和互聯(lián)網(wǎng)業(yè)務云化,DDoS攻擊正變得越來越猖獗,一旦攻擊目標被鎖定,針對其IP和域名的DDoS攻擊就會交替上演,而且攻擊也趨向于APT(Advanced Persistent Threat,高級持續(xù)性威脅)化。比如因惡性競爭導致的、在購物旺季持續(xù)針對各種電子商務網(wǎng)站的DDoS攻擊,會直接造成網(wǎng)站點擊響應變慢、甚至網(wǎng)頁無法打開,顧客因無法忍受超慢的購物體驗,轉而選擇其它網(wǎng)站購物;針對客戶群巨大的游戲平臺的DDoS攻擊同樣會導致客戶流失;再如世界杯足球賽等重大體育賽事期間,超大流量的DDoS攻擊會將目標瞄準各類博彩網(wǎng)站,且持續(xù)整個賽事周期。
從2014年華為安全中心統(tǒng)計的數(shù)據(jù)看,幾乎每個月都會發(fā)生超過數(shù)百G的DDoS攻擊,攻擊流量峰值帶寬一再被刷新,2014年年初為400Gbps,年底已經(jīng)達到500Gbps(2014年12月20日,針對中國某云數(shù)據(jù)中心托管的游戲業(yè)務的DDoS攻擊持續(xù)了14個小時)。DDoS攻擊不僅危害了企業(yè)的業(yè)務,而且給公有云數(shù)據(jù)中心的運營帶來了巨大壓力,對電信運營商的業(yè)務帶寬帶來了持續(xù)的開銷和消耗。甚至于全球Tier-1骨干運營商也開始尋求在攻擊源頭快速過濾攻擊流量的“clean pipe”方案,以遏制日益猖獗的DDoS攻擊流量對網(wǎng)絡的沖擊。
究其原因,僵尸網(wǎng)絡的泛濫是因為缺乏有效監(jiān)管的網(wǎng)吧主機、數(shù)據(jù)中心服務器、互聯(lián)網(wǎng)免費代理服務器、廉價的云數(shù)據(jù)中心虛擬機等被大量植入惡意軟件成為僵尸網(wǎng)絡,形成了DDoS攻擊不斷發(fā)展壯大的溫床。因此,2014年公有云數(shù)據(jù)中心最大的網(wǎng)絡安全風險是面臨著雙向DDoS的攻擊威脅——從外而至的Inbound DDoS攻擊直接危及下行帶寬和在線業(yè)務的可用性,而從內(nèi)而發(fā)的Outbound DDoS則直接危及數(shù)據(jù)中心內(nèi)上行帶寬及云數(shù)據(jù)中心的聲譽,很多數(shù)據(jù)中心已經(jīng)淪為僵尸網(wǎng)絡的宿主地和垃圾池。
大數(shù)據(jù):解決DDoS網(wǎng)絡攻擊的威脅
如何解決DDoS網(wǎng)絡攻擊的威脅?這需要跨出傳統(tǒng)DDoS防御的視角,將本地防御的檢測和清洗設備與全網(wǎng)的流量節(jié)點結合起來,實現(xiàn)統(tǒng)一的大數(shù)據(jù)安全管理和調(diào)度控制,才能真正解決安全問題和風險。其中大數(shù)據(jù)安全是分層次實現(xiàn)的。
- 第一層:本地DDoS檢測和清洗設備,其要具備大數(shù)據(jù)分析基因,能防御多種應用型DDoS攻擊。包括支持逐包檢測、流量分析模型可以不斷擴展和豐富、本地的實時及位置IP信譽識別、動態(tài)/靜態(tài)的攻擊流量指紋機器學習等功能,以及高性能的硬件平臺運算能力和高擴展性。
- 第二層:本地DDoS檢測和清洗設備要能及時更新來自于安全智能中心的全球僵尸網(wǎng)絡IP信譽庫。
第三層:建立全球大數(shù)據(jù)安全SoC平臺,實現(xiàn)基于立體的防御體系。包括:
首先,構建全球清洗中心布局,在歐洲、北美、亞太、中國等攻擊發(fā)起的密集區(qū)部署,實現(xiàn)全球聯(lián)動、近源清洗——在阿姆斯特丹、莫斯科、北京、新加坡、洛杉磯和邁阿密構筑核心節(jié)點,實現(xiàn)全球DDoS攻擊數(shù)據(jù)的大數(shù)據(jù)分析,形成統(tǒng)一集中調(diào)度和清洗策略下發(fā)。
其次,在國際關口局、互聯(lián)互通口、大帶寬IDC中心部署DDoS清洗設備,并與全球清洗中心聯(lián)動,實現(xiàn)源頭清洗和就近近源引流。
最后,在IDC邊界和IDC內(nèi)部部署本地清洗設備與vFW,實現(xiàn)IDC東西向和南北向流量的完整DDoS防護方案,大流量的DDoS攻擊將會觸發(fā)云清洗中心的近源清洗。
最重要的是:通過全球統(tǒng)一的大數(shù)據(jù)安全SoC平臺實現(xiàn)DDoS云清洗商業(yè)聯(lián)盟,真正全網(wǎng)聯(lián)動,用大數(shù)據(jù)的思想,實現(xiàn)全球協(xié)同防御和商業(yè)利益共享。
大數(shù)據(jù)時代已經(jīng)到來,大數(shù)據(jù)正在以一種創(chuàng)新的方式改變著安全領域,通過大數(shù)據(jù)技術,可以有效構筑DDoS云清洗商業(yè)解決方案,為未來云計算、互聯(lián)網(wǎng)的發(fā)展消除DDoS安全隱患發(fā)揮出巨大的商業(yè)價值。