在工作中筆者經(jīng)常聽到一些抱怨��,說自己的網(wǎng)站又被DDoS攻擊了�����。作為從業(yè)者���,聽到這樣的消息實感無奈。多年前就已經(jīng)有人已經(jīng)提出了網(wǎng)絡實名與攻擊溯源����,可現(xiàn)在這么多年過去了,DDoS依然攻擊依舊�����。下面就先從DDoS防治這個話題來談起��。
DDoS:本不該再出現(xiàn)的異常流量
為什么說DDoS是本不該再出現(xiàn)的異常流量�����,是因為如果把木馬���、蠕蟲比喻成電影《天下無賊》里的小偷的話��,那么DDoS就能算是個明火執(zhí)仗的土匪�����,借用黎叔的話講�,就是一點技術含量也沒有?,F(xiàn)如今社會法制相對比較完善,人人都有身份證�����,出門都是攝像頭�����,就算真的有人出來打�、砸、搶����,估計跑不太遠就會被抓。那么DDoS這種嚴重影響網(wǎng)絡正常應用的“土匪”行徑,為什么可以猖獗至今呢?
是技術不足嗎?看上去不像�����,早在2014年國家網(wǎng)絡安全周上�,一大堆安全廠商就競相在碩大的屏幕上進行網(wǎng)絡攻擊溯源的展示,很是吸引眼球��。是管理方面的問題嗎?《網(wǎng)絡安全法》在2016年也已經(jīng)發(fā)布���。技術和管理都已經(jīng)到位的情況下��,依然會出現(xiàn)問題����,那就只有能力不足這一種可能性了����。下面就讓我們步入正題,從網(wǎng)絡安全與網(wǎng)絡管理的角度來進行一下分析�。
網(wǎng)絡管理與網(wǎng)絡安全的異同
在網(wǎng)絡管理和網(wǎng)絡安全的初始階段,交換機是交換機����,防火墻是防火墻����,兩者基本上沒有什么交集之處����。但是隨著網(wǎng)絡技術的發(fā)展�,交換機上開始跑起了三層路由,防火墻開始變成網(wǎng)關的路由器�,兩者開始互搶對方的飯碗,隨后交換機上開始可以設策略封端口��,算是徹底搶了防火墻的飯碗�����,而防火墻則向著更高的層次發(fā)展�����,搖身一變成了下一代防火墻……
由此可見��,隨著網(wǎng)絡設備管理能力的提升�,正在將更多的網(wǎng)絡安全功能融入其中。但是網(wǎng)絡與網(wǎng)絡安全之間��,目前為止還依然存在著一條難以跨越的鴻溝,那就是網(wǎng)絡管理始終管理的是連接�,關心的是網(wǎng)絡連接從哪里開始,經(jīng)過多少路由���,轉(zhuǎn)發(fā)的延時是多少���。而網(wǎng)絡安全則注重傳輸內(nèi)容,判斷是否為攻擊流量��、攻擊類型以及如何進行處理�����。也就是說����,網(wǎng)絡管理更偏向于全局管理,而網(wǎng)絡安全更傾向內(nèi)容分析�����。
而在實際應用過程中�,這些不同的傾向性往往會產(chǎn)生致命的結果。正所謂道高一尺�,魔高一丈����。以前靠發(fā)syn包�,做個長ping的簡單DDoS攻擊,早被模擬或就是真實應用連接請求所取代�����。這些攻擊流量往往和真實流量混雜�����,通常的網(wǎng)絡安全手段很難將其分辨�。更何況還有利用0Day傳播的網(wǎng)絡蠕蟲�����、惡意網(wǎng)頁�、木馬程序等等。這也是DDoS至今猖獗始終難以消滅的一個重要原因�����。
要想從根本上解決這個問題�����,就需要站在全局的角度去考慮問題。既要對攻擊內(nèi)容進行準確識別��,又要找到攻擊源頭有針對性地進行防御��,再有確實可信的取證���,這樣才能結合國家相關的法律�����、法規(guī)����,對相應的違法行為進行處罰����,從而在根源上解決問題。而這需要網(wǎng)絡管理與網(wǎng)絡安全的統(tǒng)一融合�����。
但是����。這種融合并不是一件十分輕松就可以完成的事情��。先不去討論對所有網(wǎng)絡傳輸內(nèi)容進行檢測的合法性問題��,僅從實現(xiàn)技術的角度看���,就有很大的難題需要進行克服:傳統(tǒng)的網(wǎng)絡管理控制器處理能力有限,很難滿足對每條流的連接況狀進行分析����。要想解決的話����,目前看來只能通過軟件定義方法。
如何挖掘SDN控制器的潛能
當前��,隨著網(wǎng)絡接入設備數(shù)量和網(wǎng)絡流量的飛速增長�,通過軟件定義管理控制網(wǎng)絡的SDN、SD-WAN技術相繼出現(xiàn)了���。在SDN技術出現(xiàn)的初期��,人們�����,就已經(jīng)認識到了基于傳輸層的網(wǎng)絡連接而不是僅基于網(wǎng)絡層的IP對網(wǎng)絡進行管理控制的重要意義����。因此,先天就具備了部分網(wǎng)絡安全管理控制能力���。這也為網(wǎng)絡管理與網(wǎng)絡安全的融合提供了難得的一個契機���。但是,SDN畢竟是為網(wǎng)絡管理而設計的技術�����,用在網(wǎng)絡安全上還是會有些力不從心�。那么應當如何挖掘SDN的潛力,讓網(wǎng)絡管理與安全趨于一統(tǒng)呢?
SDN可否用于網(wǎng)絡安全管理��,答案無疑是肯定的?��,F(xiàn)在已經(jīng)有很多安全廠商在推出基于SDN技術的網(wǎng)絡安全管理方案�����,但大多數(shù)只是將SDN作為一個大的網(wǎng)關設備����,而不是基于網(wǎng)絡整體來對網(wǎng)絡威脅進行分析。實際上�,通過連接進行管理的SDN,可以讓管理者們看到的東西會更多��,內(nèi)容也會更加豐富��,通過對可疑流量的鏡像分析�����,還可以深入了解網(wǎng)絡威脅的具體應用行為�����。
現(xiàn)在的問題在于�,如何通過SDN對正常流量與異常攻擊加以識別�����,而不是單純的在網(wǎng)關處對攻擊流量進行簡單的攔截����,從而在整網(wǎng)泛圍內(nèi)對攻擊的動向進行全面掌控�����。這種撐控也會比通過sniffer嗅探的方式更加真實可信����,從而可以更精準地對攻擊源頭進行定位�����。這就好像在網(wǎng)絡上也安裝上了一個個高清攝像頭��,對于正常用戶而言���,不會存在任何影響��,而對破壞份子而言���,一做壞事甚至一露面就可以被識別。做壞事的人被抓住了�,造成的損失自然也會可控了。
但目前這還只是一個理論上的推斷,要想真正實施����,恐怕還需要制訂出一個統(tǒng)一的基于軟件控制的網(wǎng)絡與網(wǎng)絡安全管理標準才能進行實現(xiàn)。但是從技術的角度上看�,網(wǎng)絡安全與管理的統(tǒng)一融合還是具備相當大的可行性。
網(wǎng)絡管理與安全是否該進行統(tǒng)一?
當前�����,移動互聯(lián)技術的飛速發(fā)展���,導致網(wǎng)絡應用數(shù)量激增���,也由此引發(fā)出更加廣泛的網(wǎng)絡安全問題。傳統(tǒng)DDoS攻擊沒有被遏制�����,勒索病毒��、惡意刷單等新的網(wǎng)絡威脅形式又不斷出現(xiàn)����,給人們正常網(wǎng)絡應用造成極大困擾。這些網(wǎng)絡威脅有些是屬于網(wǎng)絡安全范圍的惡意攻擊���,有些是屬于網(wǎng)絡管理范疇的應用流量�,二者往往會相互裹挾�,難以統(tǒng)一進行防御,對網(wǎng)絡正常應用造成極大威脅��。
新的網(wǎng)絡威脅也會催生出新的網(wǎng)絡安全解決方案�����,而從網(wǎng)絡整體的角度出發(fā)��,將網(wǎng)絡管理與網(wǎng)絡安全融合成為一體�����,會更加有助于從威脅源頭解決問題����。但是統(tǒng)一并不意味著不再需要網(wǎng)絡安全,而是正好相反�����,未來網(wǎng)絡安全會發(fā)揮出更加重要的作用。未來DDoS之類的惡意攻擊可能會因為統(tǒng)一監(jiān)管而減少�,但是漏洞、蠕蟲����、拖庫等網(wǎng)絡威脅依然還會產(chǎn)生。這些高技術的網(wǎng)絡威脅問題�,還是需要有更高本領的網(wǎng)絡安全人士進行解決,也許未來基于大數(shù)據(jù)分析的人工智能技術繼續(xù)發(fā)展后���,可以將這些應用類的網(wǎng)絡威脅也統(tǒng)一由網(wǎng)絡管理設備進行統(tǒng)一處理����。但是現(xiàn)在���,還是讓那些各大網(wǎng)絡安全廠商的那些已經(jīng)樹立多年的網(wǎng)絡安全溯源大屏發(fā)揮他們的真正作用吧!
贛公網(wǎng)安備 36050202000267號
