2019年11月07日
在工作中筆者經(jīng)常聽到一些抱怨,說自己的網(wǎng)站又被DDoS攻擊了。作為從業(yè)者,聽到這樣的消息實(shí)感無奈。多年前就已經(jīng)有人已經(jīng)提出了網(wǎng)絡(luò)實(shí)名與攻擊溯源,可現(xiàn)在這么多年過去了,DDoS依然攻擊依舊。下面就先從DDoS防治這個(gè)話題來談起。
DDoS:本不該再出現(xiàn)的異常流量
為什么說DDoS是本不該再出現(xiàn)的異常流量,是因?yàn)槿绻涯抉R、蠕蟲比喻成電影《天下無賊》里的小偷的話,那么DDoS就能算是個(gè)明火執(zhí)仗的土匪,借用黎叔的話講,就是一點(diǎn)技術(shù)含量也沒有。現(xiàn)如今社會(huì)法制相對(duì)比較完善,人人都有身份證,出門都是攝像頭,就算真的有人出來打、砸、搶,估計(jì)跑不太遠(yuǎn)就會(huì)被抓。那么DDoS這種嚴(yán)重影響網(wǎng)絡(luò)正常應(yīng)用的“土匪”行徑,為什么可以猖獗至今呢?
是技術(shù)不足嗎?看上去不像,早在2014年國家網(wǎng)絡(luò)安全周上,一大堆安全廠商就競相在碩大的屏幕上進(jìn)行網(wǎng)絡(luò)攻擊溯源的展示,很是吸引眼球。是管理方面的問題嗎?《網(wǎng)絡(luò)安全法》在2016年也已經(jīng)發(fā)布。技術(shù)和管理都已經(jīng)到位的情況下,依然會(huì)出現(xiàn)問題,那就只有能力不足這一種可能性了。下面就讓我們步入正題,從網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理的角度來進(jìn)行一下分析。
網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全的異同
在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全的初始階段,交換機(jī)是交換機(jī),防火墻是防火墻,兩者基本上沒有什么交集之處。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,交換機(jī)上開始跑起了三層路由,防火墻開始變成網(wǎng)關(guān)的路由器,兩者開始互搶對(duì)方的飯碗,隨后交換機(jī)上開始可以設(shè)策略封端口,算是徹底搶了防火墻的飯碗,而防火墻則向著更高的層次發(fā)展,搖身一變成了下一代防火墻……
由此可見,隨著網(wǎng)絡(luò)設(shè)備管理能力的提升,正在將更多的網(wǎng)絡(luò)安全功能融入其中。但是網(wǎng)絡(luò)與網(wǎng)絡(luò)安全之間,目前為止還依然存在著一條難以跨越的鴻溝,那就是網(wǎng)絡(luò)管理始終管理的是連接,關(guān)心的是網(wǎng)絡(luò)連接從哪里開始,經(jīng)過多少路由,轉(zhuǎn)發(fā)的延時(shí)是多少。而網(wǎng)絡(luò)安全則注重傳輸內(nèi)容,判斷是否為攻擊流量、攻擊類型以及如何進(jìn)行處理。也就是說,網(wǎng)絡(luò)管理更偏向于全局管理,而網(wǎng)絡(luò)安全更傾向內(nèi)容分析。
而在實(shí)際應(yīng)用過程中,這些不同的傾向性往往會(huì)產(chǎn)生致命的結(jié)果。正所謂道高一尺,魔高一丈。以前靠發(fā)syn包,做個(gè)長ping的簡單DDoS攻擊,早被模擬或就是真實(shí)應(yīng)用連接請(qǐng)求所取代。這些攻擊流量往往和真實(shí)流量混雜,通常的網(wǎng)絡(luò)安全手段很難將其分辨。更何況還有利用0Day傳播的網(wǎng)絡(luò)蠕蟲、惡意網(wǎng)頁、木馬程序等等。這也是DDoS至今猖獗始終難以消滅的一個(gè)重要原因。
要想從根本上解決這個(gè)問題,就需要站在全局的角度去考慮問題。既要對(duì)攻擊內(nèi)容進(jìn)行準(zhǔn)確識(shí)別,又要找到攻擊源頭有針對(duì)性地進(jìn)行防御,再有確實(shí)可信的取證,這樣才能結(jié)合國家相關(guān)的法律、法規(guī),對(duì)相應(yīng)的違法行為進(jìn)行處罰,從而在根源上解決問題。而這需要網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全的統(tǒng)一融合。
但是。這種融合并不是一件十分輕松就可以完成的事情。先不去討論對(duì)所有網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行檢測(cè)的合法性問題,僅從實(shí)現(xiàn)技術(shù)的角度看,就有很大的難題需要進(jìn)行克服:傳統(tǒng)的網(wǎng)絡(luò)管理控制器處理能力有限,很難滿足對(duì)每條流的連接況狀進(jìn)行分析。要想解決的話,目前看來只能通過軟件定義方法。
如何挖掘SDN控制器的潛能
當(dāng)前,隨著網(wǎng)絡(luò)接入設(shè)備數(shù)量和網(wǎng)絡(luò)流量的飛速增長,通過軟件定義管理控制網(wǎng)絡(luò)的SDN、SD-WAN技術(shù)相繼出現(xiàn)了。在SDN技術(shù)出現(xiàn)的初期,人們,就已經(jīng)認(rèn)識(shí)到了基于傳輸層的網(wǎng)絡(luò)連接而不是僅基于網(wǎng)絡(luò)層的IP對(duì)網(wǎng)絡(luò)進(jìn)行管理控制的重要意義。因此,先天就具備了部分網(wǎng)絡(luò)安全管理控制能力。這也為網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全的融合提供了難得的一個(gè)契機(jī)。但是,SDN畢竟是為網(wǎng)絡(luò)管理而設(shè)計(jì)的技術(shù),用在網(wǎng)絡(luò)安全上還是會(huì)有些力不從心。那么應(yīng)當(dāng)如何挖掘SDN的潛力,讓網(wǎng)絡(luò)管理與安全趨于一統(tǒng)呢?
SDN可否用于網(wǎng)絡(luò)安全管理,答案無疑是肯定的。現(xiàn)在已經(jīng)有很多安全廠商在推出基于SDN技術(shù)的網(wǎng)絡(luò)安全管理方案,但大多數(shù)只是將SDN作為一個(gè)大的網(wǎng)關(guān)設(shè)備,而不是基于網(wǎng)絡(luò)整體來對(duì)網(wǎng)絡(luò)威脅進(jìn)行分析。實(shí)際上,通過連接進(jìn)行管理的SDN,可以讓管理者們看到的東西會(huì)更多,內(nèi)容也會(huì)更加豐富,通過對(duì)可疑流量的鏡像分析,還可以深入了解網(wǎng)絡(luò)威脅的具體應(yīng)用行為。
現(xiàn)在的問題在于,如何通過SDN對(duì)正常流量與異常攻擊加以識(shí)別,而不是單純的在網(wǎng)關(guān)處對(duì)攻擊流量進(jìn)行簡單的攔截,從而在整網(wǎng)泛圍內(nèi)對(duì)攻擊的動(dòng)向進(jìn)行全面掌控。這種撐控也會(huì)比通過sniffer嗅探的方式更加真實(shí)可信,從而可以更精準(zhǔn)地對(duì)攻擊源頭進(jìn)行定位。這就好像在網(wǎng)絡(luò)上也安裝上了一個(gè)個(gè)高清攝像頭,對(duì)于正常用戶而言,不會(huì)存在任何影響,而對(duì)破壞份子而言,一做壞事甚至一露面就可以被識(shí)別。做壞事的人被抓住了,造成的損失自然也會(huì)可控了。
但目前這還只是一個(gè)理論上的推斷,要想真正實(shí)施,恐怕還需要制訂出一個(gè)統(tǒng)一的基于軟件控制的網(wǎng)絡(luò)與網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)才能進(jìn)行實(shí)現(xiàn)。但是從技術(shù)的角度上看,網(wǎng)絡(luò)安全與管理的統(tǒng)一融合還是具備相當(dāng)大的可行性。
網(wǎng)絡(luò)管理與安全是否該進(jìn)行統(tǒng)一?
當(dāng)前,移動(dòng)互聯(lián)技術(shù)的飛速發(fā)展,導(dǎo)致網(wǎng)絡(luò)應(yīng)用數(shù)量激增,也由此引發(fā)出更加廣泛的網(wǎng)絡(luò)安全問題。傳統(tǒng)DDoS攻擊沒有被遏制,勒索病毒、惡意刷單等新的網(wǎng)絡(luò)威脅形式又不斷出現(xiàn),給人們正常網(wǎng)絡(luò)應(yīng)用造成極大困擾。這些網(wǎng)絡(luò)威脅有些是屬于網(wǎng)絡(luò)安全范圍的惡意攻擊,有些是屬于網(wǎng)絡(luò)管理范疇的應(yīng)用流量,二者往往會(huì)相互裹挾,難以統(tǒng)一進(jìn)行防御,對(duì)網(wǎng)絡(luò)正常應(yīng)用造成極大威脅。
新的網(wǎng)絡(luò)威脅也會(huì)催生出新的網(wǎng)絡(luò)安全解決方案,而從網(wǎng)絡(luò)整體的角度出發(fā),將網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全融合成為一體,會(huì)更加有助于從威脅源頭解決問題。但是統(tǒng)一并不意味著不再需要網(wǎng)絡(luò)安全,而是正好相反,未來網(wǎng)絡(luò)安全會(huì)發(fā)揮出更加重要的作用。未來DDoS之類的惡意攻擊可能會(huì)因?yàn)榻y(tǒng)一監(jiān)管而減少,但是漏洞、蠕蟲、拖庫等網(wǎng)絡(luò)威脅依然還會(huì)產(chǎn)生。這些高技術(shù)的網(wǎng)絡(luò)威脅問題,還是需要有更高本領(lǐng)的網(wǎng)絡(luò)安全人士進(jìn)行解決,也許未來基于大數(shù)據(jù)分析的人工智能技術(shù)繼續(xù)發(fā)展后,可以將這些應(yīng)用類的網(wǎng)絡(luò)威脅也統(tǒng)一由網(wǎng)絡(luò)管理設(shè)備進(jìn)行統(tǒng)一處理。但是現(xiàn)在,還是讓那些各大網(wǎng)絡(luò)安全廠商的那些已經(jīng)樹立多年的網(wǎng)絡(luò)安全溯源大屏發(fā)揮他們的真正作用吧!
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://www.jewellerybykaren.com/
免費(fèi)咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
