根据德勤全球的预测，分布式拒绝服务(以下简称“DDoS”:Distributed Denial of Service)攻击在 2017 年将变得规模更大，更频繁也更难抵御(降低影响的严重程度)。德勤预计每个月的平均攻击为 Tbit/s21，攻击次数总计超过一千万次 22，平均攻击规模在 1.25-1.5Gbit/s 之间 23。一次没有缓解的 Gbit/s攻击(其影响未能得到抑制)就足以让大部分机构下线 24/25。

从 2013 到 2015 年，攻击的最大规模分别为 300、400 和 500 Gbit/s。2016 年里已经发生了两次 Tbit/s 攻击 26。(参见下面对 DDoS 攻击方式的说明)

DDoS攻击说明：

DDoS攻击的目的在于让网站无法正常使用，也就是说让电子商务网站无法卖东西，让政府网站无法处理纳税申报表，或是让新闻网站无法发布新闻。 最常见的DDoS攻击就是造成网络拥堵。一次DDoS攻击相当于数十万个假冒消费者同时涌入一家传统的实体店。商店很快被挤得水泄不通。

真的顾客进不来，商店无法为这些人提供服务，因而也没法做生意。 制造拥堵的方法有很多。最常见的两种就是僵尸网络和放大攻击。

僵尸网络由数量庞大(目前是数十万)的互联设备组成，这些设备已经被恶意代码感染，可由第三方操控实施破坏性行为。僵尸网络可用于发 起洪水攻击，这也是目前最常见的攻击形式。

第二种方法就是放大攻击，它的原理就是将恶意代码注入服务器，让其创建多个虚假的 IP地址(也称为“电子欺骗”)，它们可以向一个网站 发送大量指令，导致拥堵29。每一个被感染的机器可以创建数千个虚假的IP地址，因此放大攻击通过感染相对较少数量(数千台)的服务器就 能导致大规模的破坏。

防御 DDoS攻击的标准方法就是将网络访问流量转移到第三方，它专门过滤向网站发送的恶意请求，也就相当于将真正的顾客同假冒顾客 区分开来。每一个专门缓解攻击的第三方都有很大(然而有限)的容量来控制攻击，每一个这样的供应商通常可以代表客户同时减缓多个攻 击。至于那些针对客户的攻击，它们的累积容量有时可能会超过第三方应对攻击的容量。

主要因为以下三大趋势，我们预测 DDoS威胁会升级:

1、不安全的物联网设备(比如互联的摄像头和数字视频录像机)的用户数量持续增长，它们通常比个人电脑、智能手机和平板电脑更容易被并入僵尸网络 27

2、网上存在公开的恶意软件，比如Mirai，使相对缺乏技能的攻击者有能力将不安全的物联网设备并入僵尸网络，利用它们发起攻击

3、带宽速度变得更高(包括Gbit/s范围内的增长以及其他超快的消费者及企业宽带产品)，这意味着僵尸网络中每一个被感染的设备可以发送更多的垃圾数据。

在过去几年里，DDoS攻击的规模逐步变大，防御手段也相应增长。过去，它就是一个猫捉老鼠的游戏，不会有一方太过强大。不过到了2017年，这种局面可能有所改变，原因有二:不安全的物联网设备数量庞大;利用物联网设备的弱点实施大规模攻击变得更加简单。

可能出现的后果就是内容发布网络(CDNs)和本地防御手段无法稳步升级以抵御同时期的大规模攻击28，这就需要新的方法来应对DDoS攻击。

不安全的物联网设备

首先，导致 DDoS 攻击影响升级的一大趋势就是互联物联网设备(从摄像机到数字视频录像机，从路由器到家电设备)用户数量的增加。

远程感染一台互联设备(包括物联网设备)通常需要知道它的用户 ID 和密码。在第一次使用一台设备之前，大部分用户都知道有必要更改用户 ID 和密码，之后还会定期更换。但是，在全球数十亿台物联网设备当中，大约有五十万台——所占比例很小，但绝对数量还是较多——据说采用的是硬编码的、无法更改的用户 ID 和密码。换言之，即使用户有这个想法，也无法更改用户 ID 和密码 30。

硬编码的用户 ID 和密码如果不被人知道，也不会成为问题。但是，有编程经验的人查找设备的固件就可以发现硬编码的登录凭据;此外，它们还可能作为参考内容提供给软件开发人员或者出现在用户手册中，也有可能通过非法手段获取之后发布在网络上。易受攻击的设备有可能被召回，不过其所有者可能要过很长时间才会将它们交回。

其次，许多用户仅仅因为怕麻烦，不愿意更改登录凭据。在物联网设备上重新设置密码(如果允许，还可以修改用户ID)比用户所料想或习惯的更费劲。在全尺寸的电脑键盘上创建新的用户 ID 和密码很简单，在采用触摸屏的智能手机上也没那么麻烦，但是在没有内置屏幕或键盘的物联网设备上就难多了。但如果不更改登录凭据，就留下了安全漏洞 31。

第三，如果设备没有屏幕或者显示屏很小(比如互联的摄像机或数字录像机)，它们可能无法提示升级的必要，有的甚至无法运行杀毒软件 32。

此外，物联网设备通常采用插入式充电，对于可用电量的损耗没有明显的标志。这一点与受到感染的笔记本电脑、平板电脑或智能手机不一样，如果它们被用于攻击，电池的电量会损耗得更快 33。

如果将被感染的设备用于攻击，通常是察觉不到的:它可能在设备所有者睡觉期间被恶意使用，在另一个时空被用来攻击目标。例如，位于欧洲的设备可以在午夜攻击位于北美西海岸的目标。数几百万台设备被并入僵尸网络，而它们的所有者可能在好几年的时间里毫不知情。

此外，设备制造商也没怎么花心思让用户界面能够兼容各种操作系统或浏览器，这就使得更改设置(包括密码)变得更难。

与普遍受到更好保护的个人电脑、平板电脑和智能手机相比，物联网设备的弱点更为明显，黑客因此也更喜欢攻击它们。

DDoS 对攻击者不再有技能要求过去，限制 DDoS 攻击数量和严重程度的一个因素就是发动攻击的难度。

但是到了 2016 年年末，在恶意软件Mirai 的支持下发起 620 Gbit/s 的攻击之后，有关如何复制这一攻击的指导说明就被发布到了网上，而且隐匿了始作俑者的踪迹。发布的内容包括了一系列互联设备(大部分为物联网设备)的默认用户 ID 和密码 34。这样一来，其他人马上就能轻而易举地复制这一攻击。 2017年，因为种种原因(从好奇到有组织的攻击)，可能还会发生基于Mirai源代码的进一步攻击。

不断提升的带宽速度

导致大规模攻击更加常见的第三个原因就是不断提升的宽带上行速度。上行速度越快，每一台被感染的设备可以发送的垃圾流量就越多，造成的破坏也就越严重。如果一个用户的设备被感染，其上行速度达到了 Gbit/s，那么它的破坏力相当于一百台上行速度为 10 Mbit/s(这个上行速度更为常见)的受感染设备。

2017 年，许多市场将陆续迎来两次重大的网络升级。电缆网络将升级到 DOCSIS 3.1，可以实现数千兆位网速;铜缆网络将升级到 G.fast，通过传统的铜绞线实现每秒数百兆位的速度。经过升级的电缆和铜缆网络可能继续优先考虑下行速度，不过其上行速度也会显著提升 35。

另外，全球范围内的光纤到户(FTTH)和光纤到驻地(FTTP)安装设备也在不断增多。

截至 2020 年，全球范围内的 Gbit 连接将数以亿计，其中少部分的上行速度也将达到 Gbit36。

小结

DDoS攻击在2017年不是什么新鲜话题，不过它的潜在规模是。任何一个对网络越来越依靠的组织应该跟上类似攻击的潜在增长。应该保持警惕的组织及项目包括(但不仅限于):在线收入占很大比例的零售商;在线视频游戏公司;流媒体视频服务;在线业务与服务交付公司(金融服务、专业服务);以及政府在线服务项目，比如税务征缴。

公司及政府应该考虑多种选择方案，以便减轻DDoS攻击的影响:

• 分散化:诸如云计算、指挥与控制(C2)、态势感知和多媒体会话控制此类的关键功能都严重依赖高度分享的集中式服务器和数据中心。信息和计算的集中让攻击者能够轻松锁定目标(数据中心、服务器)，可以推动DDoS攻击目标的开发与攻击的实施。各个组织应该设计并实施新的架构，在逻辑和物理上将这些能力分散开，同时确保传统的集中式方案的性能。

• 带宽超额订购:大型组织考虑到自身的增长和DDoS攻击，通常会租用超出自己需求很多的容量。如果攻击者无法召集足够的流量淹没这个容量，通常无法实施有效攻击。

• 测试:各个组织应该主动发现那些会削弱检测或抵御DDoS攻击能力的弱点和漏洞。受控的以及友军炮火可以用来检查和测试DDoS响应以及整体恢复能力的进展。这样一来，就可以发现测试场景设计、度量、设想和范围上的缺陷，增加对潜在的DDoS攻击方法或特点(之前可能被忽略)的认知。

• 动态防御:目标静态的、可预测的行为易于攻击的规划与实施。公司应该采用灵活多变的防御方法，它们可以根据实际情况进行调整;准备工作应该包括欺骗方式的设计，建立一个虚假的现实迷惑攻击者，分散攻击流量。

• 撤退方法:在线流媒体公司可能需要考虑是否提供离线模式;例如，允许客户预先加载内容，事后观看。

• 防护:应该鼓励甚至强制要求设备供应商为自己的产品获得安全认证，并在外包装上加以标记。登录凭据的更改应该简单而安全。理想情况下，产品应与定制的凭据配套，对一台设备而言，凭据都是独一无二的。这就意味着没必要依赖客户重新设置ID和密码。应该鼓励潜在客户购买通过认证的产品37。软件也应该引入分级系统38;

• 检测:基于地域对流量进行过滤——如果流量从一个地方涌来，就有必要视为可疑的情况;此外，过滤掉那些看上去大到可疑的流量(之前并不活跃的1 Gbit/s的连接);但是，如果连接的数量增加，合理的大流量也可能增加。

• 抵御:电信公司也有可能被要求在DNS层级进行过滤，如有需要可以追踪来自其他国家的流量。

• 有些实体可能对DDoS 攻击已经有些漠然了。但是，这些攻击可能随着时间会变得更具破坏力，攻击者也可能想出更加独出心裁的办法。不幸的是，我们在DDoS 攻击这件事情上决不能松懈。DDoS 恶魔已经跑到瓶子外边，不可能再把它塞回去了。

DDoS 在中国——攻守进一步升级

在中国 , DDoS 攻击同样在流量与维度上 不断升高。2016 年，乐视遭遇了其成立 以来最大的一次恶意 DDoS 攻击，峰值 流量高达 200Gbps，使其电视端、手机端、 网页端处于瘫痪状态而无法登陆。此外， 众多互联网金融平台亦曾遭遇过无法应 对的大流量 DDoS 攻击，而对于该类企 业而言，数小时的服务器暂停运行足以 造成客户流失。在中国，约有 24% 的被 攻击网站在攻击一周内受到致命影响 39， 表现为日均流量下降超过 70%，而平均 1/4 的公司会在遭遇 DDoS 攻击一月内 彻底死亡。DDoS 防护失败的种种案例助长了攻击方的强势，在软硬件进一步 升级的当下，可以预见 DDoS 攻击将愈 演愈烈。尽管如此，中国是 DDoS 全球 主力输出国家之一，在 16 年一场针对北 美 Dyn 公司的 DDoS 攻击中，来自中国 的 IP 地址数量高达 10%40，是第三大攻 击输出国家。

我们预期在 2017 年，来自中国的 DDoS 攻击与中方抗 DDoS 防御之战将进一步 升级。攻击方将组织更大流量更高峰值 的 DDoS 攻击，促使对 DDoS 防护体系 的专业需求上升。面对攻击方的严峻考 验，防护攻击方将呈现两极分化态势， 大型企业将成为防护主力。

DDoS 攻击在中国将呈现大流量、高峰 值态势 正在迈向信息化、智能化时代的中国，使攻击方组织大规模 DDoS 的难度降 低。目前我国 DDoS 最高峰值流量约为 500Gbps，而在 2017 年，这个记录极 有可能被刷新并踏入 TGbps 时代。其原 因有三:

首先 , 智能手机与电脑的快速普及降低 了发动 DDoS 攻击的硬件需求。我国目 前的主流 DDoS 攻击设备是主机端与移 动端，攻击方利用免费软件陷阱散播感 染程序，预装于大量主机与智能手机中。 在必要的时候，这些潜伏的感染机将成 为攻击武器，联合攻打作战目标。而随 着智能手机与电脑普及率的快速上升(参 见图表 3)，潜在的攻击武器数量随之 上升，以该方式发动 DDoS 攻击峰值可 达数百 Gbps，对大部分非专业防护企业 造成致命影响。

其次 , 全国带宽的大幅度提升显著加强了 DDoS 攻击力度。截止 2015 年底我国平 均城市宽带接入速率已达到 20M，而预 计到 2020 年底，我国城市宽带接入速 率将达到 50M41。同时，上海、广州、 深圳等一线城市已先后迈入千兆网络时 代。宽带提速给居民生活带来方便的同 时，也引起了高强度网络攻击的安全隐 患，黑客控制同等数量的主机便可借由 翻倍的带宽而获得翻倍的 DDoS 攻击流 量。

再者 , 爆发式的物联网设备发展始的安全 隐患攀升。物联网设备有数量多、安全 防护低的特点。根据工信部数据，2015 年我国物联网产业规模达到 7500 亿元 人民币，同比增长 29.3%。预计到 2020 年，中国物联网整体规模将超过 1.8 万 亿元。

而与此同时，物联网设备的安全隐患并 未得到应有的重视。大部分智能硬件都 存在不同程度的固化密码或固件无法升 级的隐患，2016 年我国多家物联网设备 企业大批召回存在安全漏洞的设备，如 小米旗下的腾达互联摄像机曾被曝出应用管 理程序存在远程执行的漏洞，有心人无需密码就可进行远程操控危害个人隐私。此外，物联网设备长时间插电的供电形 式，也使其异常运转状态难以被察觉。 物联网繁荣背后或将成为网络安全的致 命伤。

DDoS 防护体系需求将直线上升

在 DDoS 网络攻击规模和频率上大幅增 加的大背景之下，大多中小型企业将无 法以自身技术与资源来应对，而近两年 的创新创业热潮引起大批初创企业涌现， 使互联网专业管理与防护的需求直线上 升，网络安全成为了这批企业关注的焦 点之一。

DDoS 攻击具有无法避免、无法预见的 特点，且对抗 DDoS 的传统技术需要强 大的出口带宽、流量清洗功能以及反应 敏捷的防御团队，这正是大部分中小企 业不具备的能力。也因此，厂商纷纷选 择购买专业流量清洗防护抵御DDoS攻击。

随着大批互联网初创企业的涌现与日益 严峻的网络安全问题凸显，不具备抵抗 能力的企业向专业防护企业求助的频率 将大幅上升。外包互联网管理与防护而 非自己组建抵御团队将成为许多中小企 业的首选。

DDoS 防护供给方将呈两极分化态势 随着 DDoS 攻击在流量和维度上的不断 演进，不仅使受害企业陷入危机重重， 更是一场攻击方和防护方之间的竞争。 一旦防护方企业落后于攻击发展速度， 该企业将被市场淘汰。对许多中小型网 络服务与安全防护提供商而言，数十乃 至上百 Gbps 的 DDoS 攻击已是防御上 限，若这些企业未能在较短时间内提升 防护能力，将无法应对席卷而来的数百 G乃至T级别的DDoS攻击。

背靠强大的带宽、强力的数据清洗能力 以及富有经验的反应团队，提供网络 安全防护的龙头企业将成为抵抗大流 量 DDoS 攻击的主力。目前我国几家抗 DDoS 的大型企业已能独立防护 TGbps 级别的攻击。面临严峻的考验，龙头企 业在抗 DDoS 防线的横向合作趋势愈加 凸显。通过优势领域的合作互补以及数 据库共享，新推出的 DDoS 防护产品或 将提供更全面的防御。

而在另一头，部分创企试图从终端着手， 将安全防护薄弱的物联网设备捆绑至云 端并采用混合加密的方式来防止黑客入 侵。DDoS 的传统防护方式需要极高的 成本，这也促进了企业从其他角度切入 寻找低消耗更有效的方式来抵御 DDoS 的攻击，创新防护方式或将出现。

引起上述不足的根本原因在于运营商的各个安全系统之间是互相独立的，无法实现各个系统之间业务及服务的串联，缺少一个核心系统将各安全系统进行整合后统一对外提供运营服务。

腾达互联网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点：

亮点一：多重整合

       有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的腾达互联网络，数以万计的DDOS攻击防范战胜经验证明了其防御体系的技高一筹。腾达互联网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系，由“高防服务器”、“高防智能DNS”高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “腾达互联云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成，从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。

亮点二：智能防御

        腾达互联的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点，利用智能DNS解析系统设置监测端口，时刻提防可能存在的安全漏洞，如果一个节点遭受攻击时将会自动切换至另一节点。在面临攻击威胁时，腾达互联采用的是目前较为理想的一种应对策略，以海量的容量和资源拖垮黑客的攻击，腾达互联的“立体式”安全防护体系能彻底有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击，并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时，腾达互联组建的是分布式集群防御，可根据需求增加节点数量提高防御力度，宕机检测系统会快速响应更换已经瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点，使攻击源变成瘫痪状态，从而削减攻击能力。
 

再就是定制的商用DDoS解决方案。

针对超大流量的攻击或者复杂的游戏CC攻击，可以考虑采用专业的DDoS解决方案。目前，通用的游戏行业安全解决方案，做法是在IDC机房前端部署防火墙或者流量清洗的一些设备，或者采用大带宽的高防机房来清洗攻击。

当宽带资源充足时，此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈：例如单点的IDC很容易被打满，对游戏公司本身的成本要求也比较高。

在腾达互联网络，我们团队去颠覆带宽“军备竞赛”的策略，是提供一个可信的访问网络，这也是游戏盾诞生的初衷。

游戏盾风控模式的初衷，是从收到访问的第一刻起，便判断它是“好”还是“坏”，从而决定它是不是可以访问到它想访问的资源；而当攻击真的发生时，也可以通过智能流量调度，将所有的业务流量切换到一个正常运作的机房，保证游戏正常运行。

某棋牌行业基于游戏盾的架构示意图

所以，通过风控理论和SDK接入技术，游戏盾可以有效地将黑客和正常玩家进行拆分，可以防御超过300G以上的超大流量攻击。

风控理论需要用到大量的云计算资源和网络资源，腾达互联网络天然的优势为游戏盾带来了很好的土壤，当游戏盾能调度10万以上节点进行快速计算和快速调度的时候，那给攻击者的感觉是这个游戏已经从他们的攻击目标里面消失。

游戏盾，是腾达互联网络的人工智能技术与调度算法，在安全行业中的成功实践。

而随着攻防进程的推进，网络层和接入层逐步壮大，我们希望“游戏盾”的风控模式，会逐步延展到各个行业中，建立起一张安全、可信的网络。这张网络中，传输着干净的流量，而攻击被前置到网络的边缘处。所有的端，在接入这张网络时，都会经过“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “腾达互联云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”风险控制的识别，网内的风控系统，也让坏人无法访问到他锁定资源。

未来，以资源为基础的DDoS防护时代终将被打破，演进出对DDoS真正免疫的风控架构。