2014年6月2日,美國司法部和FBI宣布,經(jīng)與多國警方及安全公司聯(lián)手,成功摧毀了GameOver Zeus僵尸網(wǎng)絡(luò ),并以入侵電腦、有線(xiàn)網(wǎng)絡(luò )欺詐、銀行欺詐和洗錢(qián)等罪名對幕后黑客提起刑事訴訟。
最早出現于2011年9月的GameOver Zeus是Zeus僵尸網(wǎng)絡(luò )的變種,它摒棄了Zeus基于HTTP的集中控制架構,采用P2P架構,比Zeus更加隱蔽。GameOver Zeus通過(guò)垃圾郵件或釣魚(yú)網(wǎng)站傳播,全球受其感染的電腦在50~100萬(wàn)臺之間。GameOver Zeus一旦植入個(gè)人電腦,就會(huì )搜集受害者的銀行賬戶(hù)密碼信息,接收控制端的指令將這些信息傳回給幕后的犯罪頭目,最后將用戶(hù)賬戶(hù)里的錢(qián)搬到海外賬戶(hù)。FBI估計,GameOver Zeus已造成全球超過(guò)1億美元的損失,這也是FBI及合作業(yè)者對付過(guò)的最復雜的僵尸網(wǎng)絡(luò )。
網(wǎng)絡(luò )攻擊泛濫:云數據中心安全堪憂(yōu)
這僅僅是冰山一角,事實(shí)上僵尸網(wǎng)絡(luò )已經(jīng)變得更易擴展,平臺更趨于多樣性。Windows不再是僵尸網(wǎng)絡(luò )感染的唯一平臺,很多流行僵尸趨于選擇Linux、Mac、Apple iOS、Android平臺寄宿,越流行或者越有價(jià)值的應用,感染的幾率越大。比如2013年中期開(kāi)始流行的Apple iOS和Android版本的“Flappy Bird”游戲,在很短的時(shí)間內就出現了數百個(gè)克隆版本,其中80%包含惡意代碼。
傳統數據中心的托管服務(wù)器經(jīng)常疏于監管,淪為發(fā)起超大流量DDoS攻擊的僵尸。云數據中心同樣不安全,Distil Networks發(fā)布的《The Bad Bot Landscape Report Q1 2014》指出,在A(yíng)mazon云流量中79.18%是惡意Bot的攻擊流量。僵尸網(wǎng)絡(luò )的泛濫呈現增大的趨勢,同時(shí)更善于偽裝,商業(yè)趨利目的也更加明確。僵尸網(wǎng)絡(luò )的網(wǎng)絡(luò )行為最常見(jiàn)的危害就是DDoS攻擊,DDoS攻擊具備高度模擬互聯(lián)網(wǎng)訪(fǎng)問(wèn)行為的特點(diǎn),以防止安全設備的追蹤和過(guò)濾。
DDoS攻擊:影響遠甚于其它任何網(wǎng)絡(luò )攻擊
DDoS攻擊對互聯(lián)網(wǎng)業(yè)務(wù)的影響要遠比其它任何網(wǎng)絡(luò )攻擊猛烈。隨著(zhù)云計算的普及和互聯(lián)網(wǎng)業(yè)務(wù)云化,DDoS攻擊正變得越來(lái)越猖獗,一旦攻擊目標被鎖定,針對其IP和域名的DDoS攻擊就會(huì )交替上演,而且攻擊也趨向于A(yíng)PT(Advanced Persistent Threat,高級持續性威脅)化。比如因惡性競爭導致的、在購物旺季持續針對各種電子商務(wù)網(wǎng)站的DDoS攻擊,會(huì )直接造成網(wǎng)站點(diǎn)擊響應變慢、甚至網(wǎng)頁(yè)無(wú)法打開(kāi),顧客因無(wú)法忍受超慢的購物體驗,轉而選擇其它網(wǎng)站購物;針對客戶(hù)群巨大的游戲平臺的DDoS攻擊同樣會(huì )導致客戶(hù)流失;再如世界杯足球賽等重大體育賽事期間,超大流量的DDoS攻擊會(huì )將目標瞄準各類(lèi)博彩網(wǎng)站,且持續整個(gè)賽事周期。
從2014年華為安全中心統計的數據看,幾乎每個(gè)月都會(huì )發(fā)生超過(guò)數百G的DDoS攻擊,攻擊流量峰值帶寬一再被刷新,2014年年初為400Gbps,年底已經(jīng)達到500Gbps(2014年12月20日,針對中國某云數據中心托管的游戲業(yè)務(wù)的DDoS攻擊持續了14個(gè)小時(shí))。DDoS攻擊不僅危害了企業(yè)的業(yè)務(wù),而且給公有云數據中心的運營(yíng)帶來(lái)了巨大壓力,對電信運營(yíng)商的業(yè)務(wù)帶寬帶來(lái)了持續的開(kāi)銷(xiāo)和消耗。甚至于全球Tier-1骨干運營(yíng)商也開(kāi)始尋求在攻擊源頭快速過(guò)濾攻擊流量的“clean pipe”方案,以遏制日益猖獗的DDoS攻擊流量對網(wǎng)絡(luò )的沖擊。
究其原因,僵尸網(wǎng)絡(luò )的泛濫是因為缺乏有效監管的網(wǎng)吧主機、數據中心服務(wù)器、互聯(lián)網(wǎng)免費代理服務(wù)器、廉價(jià)的云數據中心虛擬機等被大量植入惡意軟件成為僵尸網(wǎng)絡(luò ),形成了DDoS攻擊不斷發(fā)展壯大的溫床。因此,2014年公有云數據中心最大的網(wǎng)絡(luò )安全風(fēng)險是面臨著(zhù)雙向DDoS的攻擊威脅——從外而至的Inbound DDoS攻擊直接危及下行帶寬和在線(xiàn)業(yè)務(wù)的可用性,而從內而發(fā)的Outbound DDoS則直接危及數據中心內上行帶寬及云數據中心的聲譽(yù),很多數據中心已經(jīng)淪為僵尸網(wǎng)絡(luò )的宿主地和垃圾池。
大數據:解決DDoS網(wǎng)絡(luò )攻擊的威脅
如何解決DDoS網(wǎng)絡(luò )攻擊的威脅?這需要跨出傳統DDoS防御的視角,將本地防御的檢測和清洗設備與全網(wǎng)的流量節點(diǎn)結合起來(lái),實(shí)現統一的大數據安全管理和調度控制,才能真正解決安全問(wèn)題和風(fēng)險。其中大數據安全是分層次實(shí)現的。
- 第一層:本地DDoS檢測和清洗設備,其要具備大數據分析基因,能防御多種應用型DDoS攻擊。包括支持逐包檢測、流量分析模型可以不斷擴展和豐富、本地的實(shí)時(shí)及位置IP信譽(yù)識別、動(dòng)態(tài)/靜態(tài)的攻擊流量指紋機器學(xué)習等功能,以及高性能的硬件平臺運算能力和高擴展性。
- 第二層:本地DDoS檢測和清洗設備要能及時(shí)更新來(lái)自于安全智能中心的全球僵尸網(wǎng)絡(luò )IP信譽(yù)庫。
第三層:建立全球大數據安全SoC平臺,實(shí)現基于立體的防御體系。包括:
首先,構建全球清洗中心布局,在歐洲、北美、亞太、中國等攻擊發(fā)起的密集區部署,實(shí)現全球聯(lián)動(dòng)、近源清洗——在阿姆斯特丹、莫斯科、北京、新加坡、洛杉磯和邁阿密構筑核心節點(diǎn),實(shí)現全球DDoS攻擊數據的大數據分析,形成統一集中調度和清洗策略下發(fā)。
其次,在國際關(guān)口局、互聯(lián)互通口、大帶寬IDC中心部署DDoS清洗設備,并與全球清洗中心聯(lián)動(dòng),實(shí)現源頭清洗和就近近源引流。
最后,在IDC邊界和IDC內部部署本地清洗設備與vFW,實(shí)現IDC東西向和南北向流量的完整DDoS防護方案,大流量的DDoS攻擊將會(huì )觸發(fā)云清洗中心的近源清洗。
最重要的是:通過(guò)全球統一的大數據安全SoC平臺實(shí)現DDoS云清洗商業(yè)聯(lián)盟,真正全網(wǎng)聯(lián)動(dòng),用大數據的思想,實(shí)現全球協(xié)同防御和商業(yè)利益共享。
大數據時(shí)代已經(jīng)到來(lái),大數據正在以一種創(chuàng )新的方式改變著(zhù)安全領(lǐng)域,通過(guò)大數據技術(shù),可以有效構筑DDoS云清洗商業(yè)解決方案,為未來(lái)云計算、互聯(lián)網(wǎng)的發(fā)展消除DDoS安全隱患發(fā)揮出巨大的商業(yè)價(jià)值。
