作者 | 阿图斯·拉夫列诺夫

(Arturs Lavrenovs)

北约 CCDCOE，爱沙尼亚塔林

(Arturs.Lavrenovs@ccdcoe.org)

翻译 | 国家互联网应急中心 张冰

按语：译介了位于爱沙尼亚塔林的北约协同网络防御卓越中心（NATO CCDCOE）专家阿图斯·拉夫列诺夫的文章。文章认为，全球分布式拒绝服务攻击(DDoS)日益普遍，攻击规模和带宽屡创新高，对全球互联网安全运行带来巨大威胁。传统的应对DDoS攻击的思路越来越难以奏效，必须引入更多参与方，齐抓共管共同促进对全球DDoS攻击的治理。

摘要：近20多年来，互联网全球基础设施的运营者一直在与分布式拒绝服务（DDoS）攻击进行斗争。本文回顾了当前应对反射式放大DDoS攻击的各种响应策略，并提出了使响应不能充分发挥效力、需要进一步充分研究的问题。本文指出，有效应对DDoS攻击的努力应引入其他参与者，并分析了其参与的动机和动力来源。长期以来，在应对DDoS攻击方面一直困扰人们的问题是，在确保设备于生命周期内正常工作前提下，能否以比协议被弃用更快的速度修复被滥用的协议。现在看来情况确实如此。利用Memcache协议漏洞发动DDoS攻击能力在2020年5月为319Mbps，而在两年前这一数值为1.7Tbps。因此，这种攻击可以被认为是完全修复了。本文将分析该类攻击响应成功的主要原因，以及该方法是否可以被用于缓解其他经常被滥用的协议攻击，通过使用反射器能力测量方法。相比之下，长期被滥用的DNS协议攻击并没有出现显著的攻击带宽下降，还徘徊在27.5Tbps左右。

关键词：DDoS攻击，DDoS攻击能力，DDoS攻击修复，反射器，放大器

一、简介

史上第一次DDoS网络攻击发生于20年前，其后不久就发生了反射式放大DDoS攻击，此后就一直困扰着互联网。虽然近年来通过互联网扫描项目发现的反射器数量一直在稳步下降，但其攻击能力却在不断上升，并创造出新的记录。一个理性的观察者会认为，我们的技术社会有能力解决这一久已知晓的技术挑战，也许他更想知道，为什么我们没有做到这一点。

本文将只讨论反射式放大DDoS攻击，虽然攻击者期望对受害者制造的效果是相同的，并且可能在不同类型的攻击中经常出现，但响应策略却大不相同。被入侵的设备形成的僵尸网络发动的直接攻击日益吸引执法机构、互联网服务提供商（ISP）和行业组织的更大关注。

网络中伪造源IP地址和大量反射器的存在是造成DDoS攻击难以得到根治的两个根本原因。能够租用或入侵管理不善联网主机的攻击者可以利用空余的上传带宽，使用伪造的受害者IP地址的将数据包发送到公网，而后者通常会向受害者IP地址发送更大的数据包作为应答。当前的应对策略是扩散网络配置，确保只有具有合法的源IP地址的数据包才能从各个网络（BCP 38、BCP 84）进入Internet并力图消除反射器。可被伪造的网络IP地址在全球地址中所占的百分比和被滥用协议使用的反射器数量都在不断减少，这表明上述策略正在发挥作用，至少在一定程度上是有效的。然而DDoS攻击仍在不断打破新的攻击带宽记录。

2020年以来，解决DDoS攻击问题变得比以往任何时候都更加重要。全球新冠肺炎的大流行，几乎立即将整个教育系统和可在线完成的工作转移到了家中。访问不同的远程系统已成为所有受影响者的必需品。以往，针对许多组织的DDoS攻击可能造成的只是有限的负面影响和声誉损害，员工和学生的日常工作和学习仍可在本地或通过本地可访问系统继续进行。现在，DDoS攻击可以中断依赖被攻击系统的远程用户的所有工作和教育。这已经成为现实：一名高中生对某电子学习平台的DDoS攻击造成了17万名用户的在线课程中断。如果新的破纪录的DDoS攻击继续以最大的在线协作工具为目标，将对全球经济产生什么影响？

二、相关的研究工作

DDoS是一个被广泛研究的主题。它通常遵循新兴技术出现后的典型路径，例如：软件定义网络（SDN）、区块链、人工智能，研究人员将其应用于DDoS问题研究，但往往是在攻击已经到达受害者之后。造成DDoS泛滥的根本原因是双重的：伪造源IP地址能力和互联网上大量反射器的存在。研究人员正试图聚焦解决这些方面。“应用互联网数据分析中心”的机构正在运行一个名为Spoofer的长期项目，以评估和监控允许注入带有伪造IP地址数据包的网络。通报工作被密切关注，并分析通报和响应工作之间的相关性，从而对网络安全防御工作产生积极影响，尤其是在发生反射式DDoS攻击的情况下。有研究机构曾尝试通过技术手段过滤伪造IP地址的数据包而不用去修复管理不善的网络，虽然这些方法在仿真环境中表现出很高效率，但这种方法尚未被广泛采用。

对反射器的研究是可以量化的。它通过扫描互联网，以发现可用于反射攻击的特定端口和协议。这种方法可在协议开始被滥用或正在调查未来滥用的可能性时采用。通常，此类研究不会调查被滥用的设备是什么，或者其对攻击能力的贡献。大多数研究侧重于攻击的后果，而不是了解和解决根本问题。有研究机构探讨了DDoS攻击的状况，并提出在完全依赖响应服务提供商报告的峰值攻击能力的同时，需要采取根本性的转变和并进行更多的研究来解决该问题。

对全球DDoS攻击能力的评估可以确定哪些被滥用的协议贡献最大以及哪些区域的风险最高，有研究机构提出的测量方法可以识别贡献最多、最少主机的网络和区域。实验室环境中反射器能力的综合测量虽然对于进一步了解全球攻击带宽很重要，但不能涵盖互联网上的所有设备和网络条件。

三、参与者及其动机

深谙互联网生态的参与者可以为在响应DDoS攻击中苦苦挣扎的我们提供一些解决问题的线索。普通互联网用户只想访问组织提供的互联网服务。恶意行为者的能力和动机则范围广泛，但其终极目标是试图阻止用户访问特定服务。目前大多数已发表的研究都集中在上述类型的参与者方面，但还有其他一些参与者或许有助于解决问题或修复影响。

3.1 ISP和中转服务提供商

许多中转服务提供商以及部分ISP和数据中心无法对大规模应用层DDoS攻击进行过滤。这类参与者的目标是为所有客户提供网络服务，同时确保客户满意度和服务水平。如果攻击的规模不影响其他客户，攻击流量可能会被传递给受害者。受害者可能有抑或没有应对攻击的手段。如果攻击规模大到足以影响其他客户，那么中转服务提供商必须试图降低其影响，通常可行的方法是在网络拓扑中尽可能远离受害者的地方实施黑洞。当被攻击的服务失去连接时，可以认为攻击是成功的。

互联网服务提供商正在将其网络上存在开放反射器的成本外部化。对其而言，即使存在网络带宽方面的消耗对其服务也没有负面影响。专注于特定用户群的网络，如城市小区用户或数据中心，通常就有不平衡的网络带宽消耗，因此存在未使用的带宽容量。当城市小区ISP网络中的反射器产生放大效应时，其会消耗这个未使用的上传带宽容量。只要这种消耗相对较小并且不影响其他客户端或网络路由器，就不会对ISP产生不良影响，因此其也就没有动力去解决这个问题。

DDoS攻击的目标通常是托管在数据中心的商业服务，其不平衡性使得可以接受攻击带来的下载带宽，而无需在预留带宽容量范围内增加任何额外费用。如果可用带宽容量足够大并且网络有一定的过滤解决方案，则可以进一步减轻攻击。数据中心越大，其网络的可用带宽容量就越大，这意味着可以过滤更大的攻击流量。世界上一些最大的数据中心确实可以用很小的成本甚至免费过滤DDoS攻击，并且可以应对大多数攻击。较小的数据中心和ISP则可能会被一次攻击所淹没。

如果ISP通过向生成和使用带宽的客户提供服务或通过出售未使用的容量作为传输来平衡带宽，则其可能获得经济动力，从而将浪费的带宽保持在最低限度。技术解决方案或网络监管方案和管理可以显著减少ISP的带宽浪费。

没有任何立法专门针对网络上存在开放反射器的问题，即使来自特定反射器集合的DDoS攻击造成了可证明的损害，责任也可能被转移至托管这些反射器的终端客户端。总体而言，存在大量开放式反射器的网络的ISP没有解决此问题的动机。

3.2 响应服务提供商

DDoS响应服务经常会吸流互联网上最大的攻击。这些服务提供商可专门提供DDoS攻击过滤或附带的内容分发网络（CDN）等其他网络服务。其商业模式直截了当：拥有超过最大预期攻击的入口带宽容量，部署过滤解决方案，在将合法数据包转发到客户网络，同时丢弃攻击流量。

每当出现新的协议被滥用或新的攻击流量规模记录被打破时，这些响应服务提供商都会发布技术报告。这些报告被学术界、工业界和媒体大力引用，用于例证DDoS的能力和已成为最大攻击源，使其成为免费全球营销的绝佳来源。

只要预期的攻击流量及其未来增长是可控的并且没有破纪录的攻击事件发生，这些响应服务提供商就处于安全的市场地位。它们对当前情况以及需要首先解决的问题拥有最专业的见解。但是，彻底修复这些攻击不符合其利益，因为其将失去竞争优势甚至整个商业模式。

3.3 设备制造商

经常被忽视的是，大量反射器并非必不可少的公共服务，而是连接到互联网上的具有默认配置的住宅和商业设备。这类具有路由器功能且具有独立内外部网络接口的设备加剧了该方面问题。用户可能需要内网接口上的服务，但这不会导致开放反射器问题；而对外网络接口上的服务可能包含开放反射器，但这通常不是向用户提供服务必需的功能。

住宅用户设备制造商通常力求使其产品尽可能价格低廉，这有时是通过偷工减料来实现的；软件质量和安全性首当其冲成为被牺牲的部分。这些设备暴露在互联网上，可远程访问修改控制面板配置、默认的账号密码或者软件中的漏洞都可被用来进行渗透攻击，并使这些设备成为僵尸网络的一部分。这些设备的用户甚至可能不会注意到，或者其可能想知道为什么需要输入验证码（CAPTCHA）次数变得愈加频繁，或者为什么互联网访问有时会变慢。在更极端情况下，用户的信息可能会被盗取，或者设备进一步被利用以接管网络上的其他设备。如果一个制造商生产的设备被大规模利用并对用户造成严重后果，这将会引发负面宣传。因此，鼓励设备制造商尽量减少此类事件的发生并积极修复攻击影响，以免其再次发生。大量用作开放式反射器的设备不会直接伤害用户，但声誉受损会促使设备制造商解决这个问题。

3.4 政策制定者和立法机构

在所有发达国家，实施DDoS攻击已经属于适用某些刑事条款的行为。造成反射式DDoS攻击的恶意行为者是最难以识别的。互联网和DDoS攻击的全球性质可能意味着针对在一个司法管辖区注册公司的单一攻击，可能会影响到物理上托管在一个或多个其他司法管辖区的服务，并可能是由位于另一个司法管辖区的攻击者，利用其他司法管辖区的任意数量的伪造IP地址和反射器所引发。虽然起诉罪犯和影响国际法是一项较大的挑战，但立法和监管机构致力于改善公民的生活，应鼓励其采取措施打击DDoS攻击。

四、对DDoS攻击进行响应

最显而易见的响应工作是找到开放式反射器所处的来源网络并通知该网络的管理员。其他简单易行的解决方案亦可发挥效用。

4.1 通报网络管理员

许多学术和行业组织都在积极开展对互联网上可访问的已知滥用服务的扫描，并通报网络或滥用服务的联系人。如果网络管理得当，这些通报会转发给最终客户，甚至可能会协助客户解决问题。一些网络可能有特定的服务条款，要求客户端限制或阻止其反射器行为。管理不善的网络甚至不会转发这些通知。在运行反射器蜜罐系统时，我们在一些管理良好的网络上发现了大量转发通报，但其有效性比较有限。

可供长期被滥用协议利用的反射器数量似乎正在减少，但目前尚不清楚通报工作在此当中发挥的作用。目前尚未有对此进行的深入研究，因此无法做出可靠的断言。一种可能的替代解释是，可被滥用的设备一直存在于互联网上，直到其生命周期结束或者网络配置发生变化，其所带来的影响与任何修复攻击的努力完全无关。

通报电子邮件的重复性，加之网络缺乏任何可感知的重要价值，使上述方法的有效性受到质疑。针对每个网络计算其潜在带宽容量浪费可以用于对损失进行评估，这似乎可提供一些能够感知的价值。衡量这种通报方法的效果并不容易，但通过跟踪特定网络背后链路和带宽容量随时间的变化，可提供详细的报告以了解方法有效性。

4.2 ISP和网络中立

尽管网络中立性多年来直是一个热门话题，但ISP为了自身利益而在某些协议中违反网络中立的先例广泛存在。虽然对城市小区和移动网络的深度包检测（DPI）和流量整形技术已得到广泛研究，但ISP和数据中心阻止或限制特定端口的鲜为人知和经过测量的做法尚未被广泛研究。最常见的是，ISP和数据中心会针对电子邮件发送端口，默认关闭但提供可选择的退出功能，以及配备进行速率限制或过滤的系统。为什么客户对这两个案例的看法不同是有争议的，可能有人认为提供退出选项就已足够。

甚至在反射式DDoS攻击成为常态之前，垃圾邮件就已经成为一个问题。因为垃圾邮件直接影响用户和企业的生产力和安全性，因此网络安全人员开发了各种应对方法，主要是垃圾邮件过滤和将受感染主机列入黑名单。然而，垃圾邮件过滤难以做到100%精确，同时也难以关闭所有受感染主机的IP地址。如果网络管理员不对垃圾邮件主机采取措施，则同一网络上的其他垃圾邮件主机也会发生同样的情况。将整个网络列入黑名单或降低其信誉似乎是保护用户的合理措施，但由于管理个人黑名单非常耗时，许多电子邮件服务都使用全局黑名单机制。

如果ISP希望为客户提供直接发送电子邮件的能力，而不被大多数接收者拒绝或归类为垃圾邮件，其必须使自己被排除在黑名单之外。每当网络上有滥用主机出现时，必须迅速采取行动，通过限制网络连接或要求客户端解决问题来阻止其发送垃圾邮件。否则，客户端将无法发送电子邮件，因此ISP只能为不需要该功能的客户提供服务。大多数ISP选择处理垃圾邮件问题以避免被添加至黑名单中。

一些ISP选择将网络管理不善的成本外部化，并且没有动力采取其他行动。如果以打击垃圾邮件的黑名单方法来说服其改善网络管理可能容易奏效，但这要取决于被添加到黑名单的成本。除了垃圾邮件之外，还需要有其他黑名单。通常由存在恶意行为的单机（或小型子网）组成，例如传播恶意软件、主动扫描、探测服务或暴力破解安全凭据等。这些黑名单通常负责提高安全性的政府部门或其他组织部署。令人吃惊的是，这可能根本不会触动ISP，因为非滥用客户端可能不会受到任何限制。考虑到反射器本身并非恶意的，将其列入黑名单毫无

上述讨论的攻击行为将可能降低网络的整体声誉。根据其声誉将整个ISP纳入灰名单可能是有效的方法，因为这会影响到许多客户。一些主机的暴力破解行为可能会使依赖网络信誉的网站要求所有ISP用户始终输入验证码（CAPTCHA）。信用卡交易或其他活动可能会因为被标记为潜在欺诈，必须进行手动处理，是交易大大延迟或默认失败。客户满意度会因此而下降，促使其寻找另一个提供经济激励的ISP。对于允许伪造IP地址数据包的网络，并且相应的伪造IP地址行为被证明正在积极发生，才能适用上述灰名单机制。

我们可能需要一种新型的DDoS灰誉名单机制和一种处罚ISP方法。这种处罚应该与DDoS问题相关。例如，许多DDoS响应服务使用的验证码（CAPTCHA）机制可以用于处罚已知的允许发送大量使用伪造IP地址数据包或包含不成比例的大量开放反射器的网络。

每当讨论到需要第三方实施的新法规时，总会出现成本问题。这是国家政府要求ISP采用诸如昂贵的深度报检测（DPI）或数据留存系统时常发生的情况。阻止目的IP地址为反射器的数据包和IP地址伪造的基本解决方案既简单又便宜。对ISP的现有设备而言，阻断到所有到已知被滥用端口的互联网数据包的难度是微不足道的，而且是免费的。唯一可能的成本是管理或提供客户选择退出的自助服务功能。

4.3 设备和法规

减少消费设备上运行的开放式反射器是我们现在可以着手解决的问题。美国加利福尼亚州立法机构通过了一项法案，要求联网设备采取基本的安全措施来保护消费者。虽然这不会直接影响消费者，但要求外部接口在默认情况下不提供任何不需要的服务，该立法没有理由不提高互联网的整体安全性。如果至少有一个大规模市场中合理引入这类规定，那此类设备的制造商向所有市场提供相同的安全版本将更具有成本效益。

虽然立法机构也可能要求ISP提供具备选择退出功能的基本防火墙，但其难以对其他司法管辖区产生足够大的影响。由于现行商业模式下，很少对消费设备进行补丁操作，因此旧设备可能会继续贡献反射器容量，直到生命周期结束而不受ISP监管。

为了从设备角度着手解决该问题，我们需要了解哪些类别设备和制造商对带宽容量的贡献最大。然后，可以直接联系最知名的制造商，并将这些事实提交给立法机构以证明采取行动的合理性。只有当国家立法被证明有效时，才有理由为国际法律和规则进行游说。

五、测量DDoS攻击能力

了解DDoS攻击能力对于研发和验证更有效的响应策略是十分必要的，这是当前DDoS研究所欠乏的关键信息之一。我们已经使用有关研究建议的方法来测量两个非常不同的被滥用协议——Memcache和DNS。

5.1 内存缓存（Memcache）

自2018年以来，Memcache一直是DDoS攻击规模的记录保持者，据报道，2018年观察到的攻击带宽达到了1.7Tbps。我们在2020年5月观测到其攻击能力仅为319Mbps，仅有12个反射器贡献这些攻击流量，其可能是被部署用以吸引攻击的蜜罐系统。测量方法允许从计算中排除无关紧要的主机。因此，利用该协议攻击可以被视为被完全消除，并且可能不会再度出现。由于对攻击带宽理解方式的不同，决策者和公众可能会错误地认为当前被引用最多的带宽数字是相关的。该协议和攻击规模被错误地视为主要问题有多久了？

该协议攻击被清除的速度有多快？利用在特定网络测量峰值和某一时间点对攻击流量的单一测量本质上没有什么不同。解决方案是让系统持续测量每个被滥用协议的攻击能力，这样可以快速添加新监测到的被滥用协议。

该协议是一个值得注意的案例，不仅因为其创记录的攻击规模，还因为快速被消除和部署方面的差异。长期以来，大多数被滥用的协议存在于Interne上可访问的低功耗消费设备上。Memcache协议通常部署于企业环境中，其中每个主机都可以在10Gbps连接上拥有1Gbps带宽。该协议被用于提供高性能服务，这意味着软件也不构成瓶颈。每个反射器都可用于填满可用的带宽容量，这将对其主要功能产生负面影响，这可被管理员用于发现异常。通报工作可及时提醒负责任的管理员，其有动力和能力采取行动。由于该协议影响了DDoS攻击响应服务提供商，其积极参与了响应工作。

5.2 域名协议（DNS）

对利用DNS进行DDoS攻击的响应存在显著差异。它是最早在互联网上被滥用的协议之一，用于反射放大DDoS攻击，直到今天仍未得到修复。2020年5月，利用DNS协议进行攻击的全球流量达到27.5Tbps（按80%的最低响应率要求，每个国家/地区最低流量为1Gbps；见图1）。这种类型的展示对于流量的估计很常见，提供比纯开放式反射器统计更为详细的信息。如图所示，中国和美国列为最大的流量贡献者，其次是具有高速互联网连接的发展中国家和发达国家。

图1 DNS反射攻击流量（按国家）

这一数字与我们2018年8月的测量值37.6Tbps非常接近。虽然看起来攻击流量似乎显著减少，但必须考虑网络变迁、网络拓扑中测量点位置以及缺乏解决网络测量错误的有效方法。即使我们假设测量结果具有可比性且测量误差很小，但相对于完全清除的基于Memcache协议的攻击流量，其随时间推移而发生的变化仍很小。

根据Cloudflare的统计，反射发送Memcache数据包的前两个网络是OVH和Digital Ocean，两者都参与了响应工作，可能对反射器端口设置了网络防火墙或者与客户端使用者进行了直接联系。这些网络仍然是滥用DNS协议流量的主要贡献者，测得的DNS反射器流量分别为1.4Tbps和200Gbps。这两个网络提供数据中心和托管服务，并且应该重视其输出带宽流量，同时了解这些非法流量的影响，因为其本身就是攻击的主要目标。这表明反射器所在的ISP类型不是响应结果的决定因素，或者不是唯一的决定因素。响应结果差异的原因可能是多种因素的组合——反射器数量少、连接带宽高，或者对于Memcache协议而言，定位于非住宅网络中。这可能会极大地激励一些参与者，但目前没有经验证据支持该理论。

六、结果与讨论

我们已经知道了实现反射式DDoS攻击和进行针对性技术响应的两个基本点——消除开放的反射器或伪造IP，或两者兼而有之。但我们无法立即着手普遍性地实施这些措施。从数量上而言，在两个方面有效地修复受到不断增加的带宽容量的挑战。我们需要不断改进响应策略，从需要最少努力的改进开始，这不会遭遇任何阻力，以不断累进实现积极效果。我们讨论了可参与响应策略的一些其他参与者，包括ISP、设备制造商和立法机构等，但其目前仍缺乏参与的激励和动力。对所有这些参与者而言，最大的阻碍来自缺乏对攻击能力的了解，因此无法衡量改进措施的意义，并评估采取任何新措施的有效性。DDoS攻击响应服务提供商目前垄断了这些知识，并且没有动力去改善这种局面。我们已经通过对攻击流量的测量确认，在合理的时间范围内对高度滥用的协议（例如Memcache）进行全面修复是可能的，这是对其他协议所未观察到的。相比之下，在过去两年中，从攻击流量角度来看，利用DNS进行修复一直停滞不前。

我们提出了许多可以通过全面研究DDoS攻击的根本原因而不是力图消除其影响来解决问题的方案。攻击流量研究和分析是衡量响应工作的有效性和验证未来可能修复策略建议的关键。我们需要衡量特定ISP和设备制造商的对消除攻击流量贡献，以便将其纳入未来的通告，彰显其贡献的影响。我们同样需要用可靠和独立的数据来证明任何立法努力的有效性。

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。