■ 徐开勇

长期以来，安全专家一直在关注DDoS攻击日渐增大的规模和频率。据报道，在世界某些地方，任何时候都在经历着数千次攻击，因此，大型机构必须加强自己的防御措施，这对许多组织来说已经成为一项日常活动。

在“NETSCOUT威胁形势报告”中，我们的研究人员发现，攻击的频率在2017到2018年实际上呈下降趋势，但对于备受困扰的安全团队，这个消息带来的一丝安慰很快被另一个令人担忧的趋势抵消：攻击的规模出现了成倍增长，时常远远超过许多服务提供商认为安全的防御能力。DDoS已经进入TB时代。

根 据NETSCOUT的ATLAS安全工程和响应团队（ASERT）提供的资料，2018年上半年，最大的DDoS攻击规模比2017年同期增长了174%。实际上，2018年2月，北美某大型服务提供商遭到1.7TB的攻击，是有史以来最大规模的攻击。幸运的是，由于该客户的架构设计优良且采用分布式部署，并且做好了应对突发事件的准备，结合其多层Arbor DDoS解决方案，他们得以成功缓解攻击，未造成服务中断。然而，这次攻击强调了一个新的事实：为应对300GB 范围内的攻击而设计的防御措施已经无法满足要求，甚至是具备1TB防御能力的基础设施也处于风险之中。

Memcached攻击的出现

这次创纪录的攻击事件是去年已经出现的Memcached攻击的一个例子，之所以这样判断是因为它们利用用于加快网站数据访问速度的缓存服务器中的漏洞。Memcached是一款免费的开源软件，大量部署于云服务基础设施和企业网络中，具有增大带宽的效果。2月份这次攻击背后的开发者在Memcached软件包中发现了一个设计漏洞，这让他们能够利用大量的服务提供商带宽构建和发起前所未有的大规模攻击。

开源软件通常未经过足够的漏洞测试就急忙投放到市场中，供用户免费使用，由于开源软件不断扩散，可以说这种攻击不会在发生一次后就平息下来。安全团队应该会发现类似的漏洞攻击。随着攻击工具变得越来越复杂，新的攻击向量不断出现，攻击者发现发起更大规模且更有效果的攻击变得越发简单，而且成本更低。

混合解决方案

攻击规模不断扩大的趋势突出了采用混合或分层防御措施（结合本地和云端缓解功能）的必要性。常见的攻击规模依然相对较小，通常可以采用本地解决方案（虚拟或设备）进行检测和缓解。但是，既然攻击者的能力已经达到了TB级别，就有必要具备能够缓解最大规模攻击的云端组件。混合解决方案的优势在于云端防御实质上可以作为备用（与“常开”相对）措施，并在本地组件检测到超大规模攻击时立即启用。

在全球威胁情报功能的支持下，DDoS软硬件解决方案都会更加有效。利用这些数据和来自卓越研究团队的分析，应对已知和新兴威胁的措施可以直接融入缓解产品。

多年来，我们从对威胁形势的分析中获得了一个重要启示：新型DDoS攻击一旦出现就不会再消失。TB规模的攻击已经出现，而且将一直存在，企业应该做好准备。N