譯介了位于愛沙尼亞塔林的北約協同網絡防御卓越中心（NATO CCDCOE）專家阿圖斯·拉夫列諾夫的文章。文章認為，全球分布式拒絕服務攻擊（DDoS）日益普遍，攻擊規模和帶寬屢創新高，對全球互聯網安全運行帶來巨大威脅。傳統的應對DDoS攻擊的思路越來越難以奏效，必須引入更多參與方，齊抓共管共同促進對全球DDoS攻擊的治理。

　　摘要：近20多年來，互聯網全球基礎設施的運營者一直在與分布式拒絕服務（DDoS）攻擊進行斗爭。本文回顧了當前應對反射式放大DDoS攻擊的各種響應策略，并提出了使響應不能充分發揮效力、需要進一步充分研究的問題。本文指出，有效應對DDoS攻擊的努力應引入其他參與者，并分析了其參與的動機和動力來源。長期以來，在應對DDoS攻擊方面一直困擾人們的問題是，在確保設備于生命周期內正常工作前提下，能否以比協議被棄用更快的速度修復被濫用的協議。現在看來情況確實如此。利用Memcache協議漏洞發動DDoS攻擊能力在2020年5月為319Mbps，而在兩年前這一數值為1.7Tbps。因此，這種攻擊可以被認為是完全修復了。本文將分析該類攻擊響應成功的主要原因，以及該方法是否可以被用于緩解其他經常被濫用的協議攻擊，通過使用反射器能力測量方法。相比之下，長期被濫用的DNS協議攻擊并沒有出現顯著的攻擊帶寬下降，還徘徊在27.5Tbps左右。

　　關鍵詞：DDoS攻擊，DDoS攻擊能力，DDoS攻擊修復，反射器，放大器

　　一、簡介

　　史上第一次DDoS網絡攻擊發生于20年前，其后不久就發生了反射式放大DDoS攻擊，此后就一直困擾著互聯網。雖然近年來通過互聯網掃描項目發現的反射器數量一直在穩步下降，但其攻擊能力卻在不斷上升，并創造出新的記錄。一個理性的觀察者會認為，我們的技術社會有能力解決這一久已知曉的技術挑戰，也許他更想知道，為什么我們沒有做到這一點。

　　本文將只討論反射式放大DDoS攻擊，雖然攻擊者期望對受害者制造的效果是相同的，并且可能在不同類型的攻擊中經常出現，但響應策略卻大不相同。被入侵的設備形成的僵尸網絡發動的直接攻擊日益吸引執法機構、互聯網服務提供商（ISP）和行業組織的更大關注。

　　網絡中偽造源IP地址和大量反射器的存在是造成DDoS攻擊難以得到根治的兩個根本原因。能夠租用或入侵管理不善聯網主機的攻擊者可以利用空余的上傳帶寬，使用偽造的受害者IP地址的將數據包發送到公網，而后者通常會向受害者IP地址發送更大的數據包作為應答。當前的應對策略是擴散網絡配置，確保只有具有合法的源IP地址的數據包才能從各個網絡（BCP 38、BCP 84）進入Internet并力圖消除反射器。可被偽造的網絡IP地址在全球地址中所占的百分比和被濫用協議使用的反射器數量都在不斷減少，這表明上述策略正在發揮作用，至少在一定程度上是有效的。然而DDoS攻擊仍在不斷打破新的攻擊帶寬記錄。

　　2020年以來，解決DDoS攻擊問題變得比以往任何時候都更加重要。全球新冠肺炎的大流行，幾乎立即將整個教育系統和可在線完成的工作轉移到了家中。訪問不同的遠程系統已成為所有受影響者的必需品。以往，針對許多組織的DDoS攻擊可能造成的只是有限的負面影響和聲譽損害，員工和學生的日常工作和學習仍可在本地或通過本地可訪問系統繼續進行。現在，DDoS攻擊可以中斷依賴被攻擊系統的遠程用戶的所有工作和教育。這已經成為現實：一名高中生對某電子學習平臺的DDoS攻擊造成了17萬名用戶的在線課程中斷。如果新的破紀錄的DDoS攻擊繼續以最大的在線協作工具為目標，將對全球經濟產生什么影響？

　　二、相關的研究工作

　　DDoS是一個被廣泛研究的主題。它通常遵循新興技術出現后的典型路徑，例如：軟件定義網絡（SDN）、區塊鏈、人工智能，研究人員將其應用于DDoS問題研究，但往往是在攻擊已經到達受害者之后。造成DDoS泛濫的根本原因是雙重的：偽造源IP地址能力和互聯網上大量反射器的存在。研究人員正試圖聚焦解決這些方面。“應用互聯網數據分析中心”的機構正在運行一個名為Spoofer的長期項目，以評估和監控允許注入帶有偽造IP地址數據包的網絡。通報工作被密切關注，并分析通報和響應工作之間的相關性，從而對網絡安全防御工作產生積極影響，尤其是在發生反射式DDoS攻擊的情況下。有研究機構曾嘗試通過技術手段過濾偽造IP地址的數據包而不用去修復管理不善的網絡，雖然這些方法在仿真環境中表現出很高效率，但這種方法尚未被廣泛采用。

　　對反射器的研究是可以量化的。它通過掃描互聯網，以發現可用于反射攻擊的特定端口和協議。這種方法可在協議開始被濫用或正在調查未來濫用的可能性時采用。通常，此類研究不會調查被濫用的設備是什么，或者其對攻擊能力的貢獻。大多數研究側重于攻擊的后果，而不是了解和解決根本問題。有研究機構探討了DDoS攻擊的狀況，并提出在完全依賴響應服務提供商報告的峰值攻擊能力的同時，需要采取根本性的轉變和并進行更多的研究來解決該問題。

　　對全球DDoS攻擊能力的評估可以確定哪些被濫用的協議貢獻最大以及哪些區域的風險最高，有研究機構提出的測量方法可以識別貢獻最多、最少主機的網絡和區域。實驗室環境中反射器能力的綜合測量雖然對于進一步了解全球攻擊帶寬很重要，但不能涵蓋互聯網上的所有設備和網絡條件。

　　三、參與者及其動機

　　深諳互聯網生態的參與者可以為在響應DDoS攻擊中苦苦掙扎的我們提供一些解決問題的線索。普通互聯網用戶只想訪問組織提供的互聯網服務。惡意行為者的能力和動機則范圍廣泛，但其終極目標是試圖阻止用戶訪問特定服務。目前大多數已發表的研究都集中在上述類型的參與者方面，但還有其他一些參與者或許有助于解決問題或修復影響。

　　3.1 ISP和中轉服務提供商

　　許多中轉服務提供商以及部分ISP和數據中心無法對大規模應用層DDoS攻擊進行過濾。這類參與者的目標是為所有客戶提供網絡服務，同時確保客戶滿意度和服務水平。如果攻擊的規模不影響其他客戶，攻擊流量可能會被傳遞給受害者。受害者可能有抑或沒有應對攻擊的手段。如果攻擊規模大到足以影響其他客戶，那么中轉服務提供商必須試圖降低其影響，通常可行的方法是在網絡拓撲中盡可能遠離受害者的地方實施黑洞。當被攻擊的服務失去連接時，可以認為攻擊是成功的。

　　互聯網服務提供商正在將其網絡上存在開放反射器的成本外部化。對其而言，即使存在網絡帶寬方面的消耗對其服務也沒有負面影響。專注于特定用戶群的網絡，如城市小區用戶或數據中心，通常就有不平衡的網絡帶寬消耗，因此存在未使用的帶寬容量。當城市小區ISP網絡中的反射器產生放大效應時，其會消耗這個未使用的上傳帶寬容量。只要這種消耗相對較小并且不影響其他客戶端或網絡路由器，就不會對ISP產生不良影響，因此其也就沒有動力去解決這個問題。

　　DDoS攻擊的目標通常是托管在數據中心的商業服務，其不平衡性使得可以接受攻擊帶來的下載帶寬，而無需在預留帶寬容量范圍內增加任何額外費用。如果可用帶寬容量足夠大并且網絡有一定的過濾解決方案，則可以進一步減輕攻擊。數據中心越大，其網絡的可用帶寬容量就越大，這意味著可以過濾更大的攻擊流量。世界上一些最大的數據中心確實可以用很小的成本甚至免費過濾DDoS攻擊，并且可以應對大多數攻擊。較小的數據中心和ISP則可能會被一次攻擊所淹沒。

　　如果ISP通過向生成和使用帶寬的客戶提供服務或通過出售未使用的容量作為傳輸來平衡帶寬，則其可能獲得經濟動力，從而將浪費的帶寬保持在最低限度。技術解決方案或網絡監管方案和管理可以顯著減少ISP的帶寬浪費。

　　沒有任何立法專門針對網絡上存在開放反射器的問題，即使來自特定反射器集合的DDoS攻擊造成了可證明的損害，責任也可能被轉移至托管這些反射器的終端客戶端。總體而言，存在大量開放式反射器的網絡的ISP沒有解決此問題的動機。

　　3.2 響應服務提供商

　　DDoS響應服務經常會吸流互聯網上最大的攻擊。這些服務提供商可專門提供DDoS攻擊過濾或附帶的內容分發網絡（CDN）等其他網絡服務。其商業模式直截了當：擁有超過最大預期攻擊的入口帶寬容量，部署過濾解決方案，在將合法數據包轉發到客戶網絡，同時丟棄攻擊流量。

　　每當出現新的協議被濫用或新的攻擊流量規模記錄被打破時，這些響應服務提供商都會發布技術報告。這些報告被學術界、工業界和媒體大力引用，用于例證DDoS的能力和已成為最大攻擊源，使其成為免費全球營銷的絕佳來源。

　　只要預期的攻擊流量及其未來增長是可控的并且沒有破紀錄的攻擊事件發生，這些響應服務提供商就處于安全的市場地位。它們對當前情況以及需要首先解決的問題擁有最專業的見解。但是，徹底修復這些攻擊不符合其利益，因為其將失去競爭優勢甚至整個商業模式。

　　3.3 設備制造商

　　經常被忽視的是，大量反射器并非必不可少的公共服務，而是連接到互聯網上的具有默認配置的住宅和商業設備。這類具有路由器功能且具有獨立內外部網絡接口的設備加劇了該方面問題。用戶可能需要內網接口上的服務，但這不會導致開放反射器問題；而對外網絡接口上的服務可能包含開放反射器，但這通常不是向用戶提供服務必需的功能。

　　住宅用戶設備制造商通常力求使其產品盡可能價格低廉，這有時是通過偷工減料來實現的；軟件質量和安全性首當其沖成為被犧牲的部分。這些設備暴露在互聯網上，可遠程訪問修改控制面板配置、默認的賬號密碼或者軟件中的漏洞都可被用來進行滲透攻擊，并使這些設備成為僵尸網絡的一部分。這些設備的用戶甚至可能不會注意到，或者其可能想知道為什么需要輸入驗證碼（CAPTCHA）次數變得愈加頻繁，或者為什么互聯網訪問有時會變慢。在更極端情況下，用戶的信息可能會被盜取，或者設備進一步被利用以接管網絡上的其他設備。如果一個制造商生產的設備被大規模利用并對用戶造成嚴重后果，這將會引發負面宣傳。因此，鼓勵設備制造商盡量減少此類事件的發生并積極修復攻擊影響，以免其再次發生。大量用作開放式反射器的設備不會直接傷害用戶，但聲譽受損會促使設備制造商解決這個問題。

　　3.4 政策制定者和立法機構

　　在所有發達國家，實施DDoS攻擊已經屬于適用某些刑事條款的行為。造成反射式DDoS攻擊的惡意行為者是最難以識別的。互聯網和DDoS攻擊的全球性質可能意味著針對在一個司法管轄區注冊公司的單一攻擊，可能會影響到物理上托管在一個或多個其他司法管轄區的服務，并可能是由位于另一個司法管轄區的攻擊者，利用其他司法管轄區的任意數量的偽造IP地址和反射器所引發。雖然起訴罪犯和影響國際法是一項較大的挑戰，但立法和監管機構致力于改善公民的生活，應鼓勵其采取措施打擊DDoS攻擊。

　　四、對DDoS攻擊進行響應

　　最顯而易見的響應工作是找到開放式反射器所處的來源網絡并通知該網絡的管理員。其他簡單易行的解決方案亦可發揮效用。

　　4.1 通報網絡管理員

　　許多學術和行業組織都在積極開展對互聯網上可訪問的已知濫用服務的掃描，并通報網絡或濫用服務的聯系人。如果網絡管理得當，這些通報會轉發給最終客戶，甚至可能會協助客戶解決問題。一些網絡可能有特定的服務條款，要求客戶端限制或阻止其反射器行為。管理不善的網絡甚至不會轉發這些通知。在運行反射器蜜罐系統時，我們在一些管理良好的網絡上發現了大量轉發通報，但其有效性比較有限。

　　可供長期被濫用協議利用的反射器數量似乎正在減少，但目前尚不清楚通報工作在此當中發揮的作用。目前尚未有對此進行的深入研究，因此無法做出可靠的斷言。一種可能的替代解釋是，可被濫用的設備一直存在于互聯網上，直到其生命周期結束或者網絡配置發生變化，其所帶來的影響與任何修復攻擊的努力完全無關。

　　通報電子郵件的重復性，加之網絡缺乏任何可感知的重要價值，使上述方法的有效性受到質疑。針對每個網絡計算其潛在帶寬容量浪費可以用于對損失進行評估，這似乎可提供一些能夠感知的價值。衡量這種通報方法的效果并不容易，但通過跟蹤特定網絡背后鏈路和帶寬容量隨時間的變化，可提供詳細的報告以了解方法有效性。

　　4.2 ISP和網絡中立

　　盡管網絡中立性多年來直是一個熱門話題，但ISP為了自身利益而在某些協議中違反網絡中立的先例廣泛存在。雖然對城市小區和移動網絡的深度包檢測（DPI）和流量整形技術已得到廣泛研究，但ISP和數據中心阻止或限制特定端口的鮮為人知和經過測量的做法尚未被廣泛研究。最常見的是，ISP和數據中心會針對電子郵件發送端口，默認關閉但提供可選擇的退出功能，以及配備進行速率限制或過濾的系統。為什么客戶對這兩個案例的看法不同是有爭議的，可能有人認為提供退出選項就已足夠。

　　甚至在反射式DDoS攻擊成為常態之前，垃圾郵件就已經成為一個問題。因為垃圾郵件直接影響用戶和企業的生產力和安全性，因此網絡安全人員開發了各種應對方法，主要是垃圾郵件過濾和將受感染主機列入黑名單。然而，垃圾郵件過濾難以做到100%精確，同時也難以關閉所有受感染主機的IP地址。如果網絡管理員不對垃圾郵件主機采取措施，則同一網絡上的其他垃圾郵件主機也會發生同樣的情況。將整個網絡列入黑名單或降低其信譽似乎是保護用戶的合理措施，但由于管理個人黑名單非常耗時，許多電子郵件服務都使用全局黑名單機制。

　　如果ISP希望為客戶提供直接發送電子郵件的能力，而不被大多數接收者拒絕或歸類為垃圾郵件，其必須使自己被排除在黑名單之外。每當網絡上有濫用主機出現時，必須迅速采取行動，通過限制網絡連接或要求客戶端解決問題來阻止其發送垃圾郵件。否則，客戶端將無法發送電子郵件，因此ISP只能為不需要該功能的客戶提供服務。大多數ISP選擇處理垃圾郵件問題以避免被添加至黑名單中。

　　一些ISP選擇將網絡管理不善的成本外部化，并且沒有動力采取其他行動。如果以打擊垃圾郵件的黑名單方法來說服其改善網絡管理可能容易奏效，但這要取決于被添加到黑名單的成本。除了垃圾郵件之外，還需要有其他黑名單。通常由存在惡意行為的單機（或小型子網）組成，例如傳播惡意軟件、主動掃描、探測服務或暴力破解安全憑據等。這些黑名單通常負責提高安全性的政府部門或其他組織部署。令人吃驚的是，這可能根本不會觸動ISP，因為非濫用客戶端可能不會受到任何限制。考慮到反射器本身并非惡意的，將其列入黑名單毫無

　　上述討論的攻擊行為將可能降低網絡的整體聲譽。根據其聲譽將整個ISP納入灰名單可能是有效的方法，因為這會影響到許多客戶。一些主機的暴力破解行為可能會使依賴網絡信譽的網站要求所有ISP用戶始終輸入驗證碼（CAPTCHA）。信用卡交易或其他活動可能會因為被標記為潛在欺詐，必須進行手動處理，是交易大大延遲或默認失敗。客戶滿意度會因此而下降，促使其尋找另一個提供經濟激勵的ISP。對于允許偽造IP地址數據包的網絡，并且相應的偽造IP地址行為被證明正在積極發生，才能適用上述灰名單機制。

　　我們可能需要一種新型的DDoS灰譽名單機制和一種處罰ISP方法。這種處罰應該與DDoS問題相關。例如，許多DDoS響應服務使用的驗證碼（CAPTCHA）機制可以用于處罰已知的允許發送大量使用偽造IP地址數據包或包含不成比例的大量開放反射器的網絡。

　　每當討論到需要第三方實施的新法規時，總會出現成本問題。這是國家政府要求ISP采用諸如昂貴的深度報檢測（DPI）或數據留存系統時常發生的情況。阻止目的IP地址為反射器的數據包和IP地址偽造的基本解決方案既簡單又便宜。對ISP的現有設備而言，阻斷到所有到已知被濫用端口的互聯網數據包的難度是微不足道的，而且是免費的。唯一可能的成本是管理或提供客戶選擇退出的自助服務功能。

　　4.3 設備和法規

　　減少消費設備上運行的開放式反射器是我們現在可以著手解決的問題。美國加利福尼亞州立法機構通過了一項法案，要求聯網設備采取基本的安全措施來保護消費者。雖然這不會直接影響消費者，但要求外部接口在默認情況下不提供任何不需要的服務，該立法沒有理由不提高互聯網的整體安全性。如果至少有一個大規模市場中合理引入這類規定，那此類設備的制造商向所有市場提供相同的安全版本將更具有成本效益。

　　雖然立法機構也可能要求ISP提供具備選擇退出功能的基本防火墻，但其難以對其他司法管轄區產生足夠大的影響。由于現行商業模式下，很少對消費設備進行補丁操作，因此舊設備可能會繼續貢獻反射器容量，直到生命周期結束而不受ISP監管。

　　為了從設備角度著手解決該問題，我們需要了解哪些類別設備和制造商對帶寬容量的貢獻最大。然后，可以直接聯系最知名的制造商，并將這些事實提交給立法機構以證明采取行動的合理性。只有當國家立法被證明有效時，才有理由為國際法律和規則進行游說。

　　五、測量DDoS攻擊能力

　　了解DDoS攻擊能力對于研發和驗證更有效的響應策略是十分必要的，這是當前DDoS研究所欠乏的關鍵信息之一。我們已經使用有關研究建議的方法來測量兩個非常不同的被濫用協議——Memcache和DNS。

　　5.1 內存緩存（Memcache）

　　自2018年以來，Memcache一直是DDoS攻擊規模的記錄保持者，據報道，2018年觀察到的攻擊帶寬達到了1.7Tbps。我們在2020年5月觀測到其攻擊能力僅為319Mbps，僅有12個反射器貢獻這些攻擊流量，其可能是被部署用以吸引攻擊的蜜罐系統。測量方法允許從計算中排除無關緊要的主機。因此，利用該協議攻擊可以被視為被完全消除，并且可能不會再度出現。由于對攻擊帶寬理解方式的不同，決策者和公眾可能會錯誤地認為當前被引用最多的帶寬數字是相關的。該協議和攻擊規模被錯誤地視為主要問題有多久了？

　　該協議攻擊被清除的速度有多快？利用在特定網絡測量峰值和某一時間點對攻擊流量的單一測量本質上沒有什么不同。解決方案是讓系統持續測量每個被濫用協議的攻擊能力，這樣可以快速添加新監測到的被濫用協議。

　　該協議是一個值得注意的案例，不僅因為其創記錄的攻擊規模，還因為快速被消除和部署方面的差異。長期以來，大多數被濫用的協議存在于Interne上可訪問的低功耗消費設備上。Memcache協議通常部署于企業環境中，其中每個主機都可以在10Gbps連接上擁有1Gbps帶寬。該協議被用于提供高性能服務，這意味著軟件也不構成瓶頸。每個反射器都可用于填滿可用的帶寬容量，這將對其主要功能產生負面影響，這可被管理員用于發現異常。通報工作可及時提醒負責任的管理員，其有動力和能力采取行動。由于該協議影響了DDoS攻擊響應服務提供商，其積極參與了響應工作。

　　5.2 域名協議（DNS）

　　對利用DNS進行DDoS攻擊的響應存在顯著差異。它是最早在互聯網上被濫用的協議之一，用于反射放大DDoS攻擊，直到今天仍未得到修復。2020年5月，利用DNS協議進行攻擊的全球流量達到27.5Tbps（按80%的最低響應率要求，每個國家/地區最低流量為1Gbps；見圖1）。這種類型的展示對于流量的估計很常見，提供比純開放式反射器統計更為詳細的信息。如圖所示，中國和美國列為最大的流量貢獻者，其次是具有高速互聯網連接的發展中國家和發達國家。

　　圖1 DNS反射攻擊流量（按國家）

　　這一數字與我們2018年8月的測量值37.6Tbps非常接近。雖然看起來攻擊流量似乎顯著減少，但必須考慮網絡變遷、網絡拓撲中測量點位置以及缺乏解決網絡測量錯誤的有效方法。即使我們假設測量結果具有可比性且測量誤差很小，但相對于完全清除的基于Memcache協議的攻擊流量，其隨時間推移而發生的變化仍很小。

　　根據Cloudflare的統計，反射發送Memcache數據包的前兩個網絡是OVH和Digital Ocean，兩者都參與了響應工作，可能對反射器端口設置了網絡防火墻或者與客戶端使用者進行了直接聯系。這些網絡仍然是濫用DNS協議流量的主要貢獻者，測得的DNS反射器流量分別為1.4Tbps和200Gbps。這兩個網絡提供數據中心和托管服務，并且應該重視其輸出帶寬流量，同時了解這些非法流量的影響，因為其本身就是攻擊的主要目標。這表明反射器所在的ISP類型不是響應結果的決定因素，或者不是唯一的決定因素。響應結果差異的原因可能是多種因素的組合——反射器數量少、連接帶寬高，或者對于Memcache協議而言，定位于非住宅網絡中。這可能會極大地激勵一些參與者，但目前沒有經驗證據支持該理論。

　　六、結果與討論

　　我們已經知道了實現反射式DDoS攻擊和進行針對性技術響應的兩個基本點——消除開放的反射器或偽造IP，或兩者兼而有之。但我們無法立即著手普遍性地實施這些措施。從數量上而言，在兩個方面有效地修復受到不斷增加的帶寬容量的挑戰。我們需要不斷改進響應策略，從需要最少努力的改進開始，這不會遭遇任何阻力，以不斷累進實現積極效果。我們討論了可參與響應策略的一些其他參與者，包括ISP、設備制造商和立法機構等，但其目前仍缺乏參與的激勵和動力。對所有這些參與者而言，最大的阻礙來自缺乏對攻擊能力的了解，因此無法衡量改進措施的意義，并評估采取任何新措施的有效性。DDoS攻擊響應服務提供商目前壟斷了這些知識，并且沒有動力去改善這種局面。我們已經通過對攻擊流量的測量確認，在合理的時間范圍內對高度濫用的協議（例如Memcache）進行全面修復是可能的，這是對其他協議所未觀察到的。相比之下，在過去兩年中，從攻擊流量角度來看，利用DNS進行修復一直停滯不前。

　　我們提出了許多可以通過全面研究DDoS攻擊的根本原因而不是力圖消除其影響來解決問題的方案。攻擊流量研究和分析是衡量響應工作的有效性和驗證未來可能修復策略建議的關鍵。我們需要衡量特定ISP和設備制造商的對消除攻擊流量貢獻，以便將其納入未來的通告，彰顯其貢獻的影響。我們同樣需要用可靠和獨立的數據來證明任何立法努力的有效性。