为了彻底灭绝DDoS Cloudflare宣布取消抗D收费

作者:星期三, 十月 11, 20170
分享:

无论你有没有注意到,被称为分布式拒绝服务(DDoS)攻击的数字袭击,经常发生。企业、互联网基础设施,还有大学及政府机构之类其他大型目标,时常遭到此类攻击。甚至某种程度上说,被DDoS是常态。

互联网更为广阔的其他部分,没处在DDoS所致网络崩溃常态的唯一原因,是有第三方公司在提供DDoS防护服务。这些服务对防卫客户大有助益,但也有其自身短板。随着攻击规模上升,服务价格往往水涨船高,而且如果攻击过于庞大,提供商甚至还会纷纷撤出防御服务。

Cloudflare CEO 马修·普林斯

但是,上个月底,DDoS防御厂商Cloudflare,从其防护产品中撤销了按比例收取的费用。其新的“无限制缓解”计划,意味着购买了Cloudflare其他服务的客户,在遭受DDoS攻击时将不再面临额外缴费的风险,且使用Cloudflare免费产品的客户也将享有不受限的DDoS防护。

Cloudflare首席执行官马修·普林斯称:“我们的网络已成长到无惧面对互联网袭来的大型DDoS。在见识过全球各地的攻击并加以缓解之后,我们确信自己可以为任何人带来这项服务。这是互联网无可避免的走向。”

该举措符合DDoS防御的长期愿景。要每个人,不仅仅是Cloudflare客户,都享有免费无限制DDoS防护,此类攻击将不再那么容易得逞,最终只会走向绝迹。Cloudflare让其防护广为可用且不收取额外费用的做法值得肯定。但全面阻止DDoS所需的,不能仅仅是这一步。

城堡保卫战

尽管大部分DDoS攻击被挫败,依然有大量攻击确实破坏了网站和服务的稳定。比如说,2016年9月安全博主克雷布斯的网站,就遭到了峰值流量高达620Gbps的DDoS攻击。

最初为该网站提供免费防护的阿卡迈公司,在面对卷入了全球大量物联网设备的大规模僵尸网络攻击时,决定撤出其防护服务,让克雷布斯的网站直接被DDoS踢下线。一周后,法国Web托管公司OVH遭到峰值流量达1.1Tbps之巨的罕见超大规模DDoS攻击。

这种规模的攻击的出现,让Cloudflare的通告看起来有些令人吃惊。但是,普林斯决定,他的公司在技术和财力上,都达到了可以做出这种承诺的位置。Cloudflare的基础设施采用了相对容易买到的现成产品,可以按需全球部署、设置、维护、置换,也就是说,可以快速高效地扩展。该公司目前运营着117个数据中心,拥有理论上15Tbps的DDoS防御能力;如果需要,可以帮助多家客户抵御OVH级别的大型DDoS袭击。

Cloudflare是否能实际承担起该负载——财力和技术两方面,我们尚未可知,尤其是在需要防护的客户数量可能增加的情况下。而且,因技术限制而不得不停止防护客户的失败后果,可能也会令该公司蒙羞,对其受影响客户造成潜在严重后果。(撤出防御有时候不止是严格意义上的技术问题;8月,Cloudflare做出了一个有争议的决定:停止保护白人至上主义网站The Daily Stormer,致其立即掉线。)

普林斯对此泰然自若。“我们从每一次攻击中学习,攻击越多,我们越强大,越能够保护我们网络上的每一个人。我们完全预测到了,随着该通告的发布,会有更多遭受DDoS攻击的人订阅我们,但那只会让Cloudflare的服务随时间进程而更加智能。”

如果一切照计划进行,获益的将不仅仅是Cloudflare。普林斯补充道,公司真心设想过将该举措作为一个范例,希望免费DDoS防护能很快成为行业标准。

我们希望这能成为默认设置,不仅仅是Cloudflare,而是整个行业。如果这一切真的发生,那整个行业就有机会扑灭DDoS这种威胁了。

总体防御

全行业范围内的推动可以灭绝DDoS的概念,其实已经流传几年了。谷歌Project Shield就是该想法的倡导者,为新闻、人权和选举监测网站提供免费DDoS保护。早在去年,负责监管Project Shield的谷歌母公司Alphabet旗下孵化器Jigsaw总裁杰瑞德.科恩,就曾表示:“我们认为DDoS不应该存在。我们希望Shield能像Gmail对抗垃圾邮件一样打败DDoS攻击。”

DDoS防御真的可以朝这个方向发展。欧美的一些大型互联网服务提供商,已经开始计划或默默推出标准DDoS防御,作为维护自身网络监控和避免大型攻击连带伤害的一种方式。但Cloudflare是第一家高调承诺为所有客户提供免费防护的公司。这是非常重要的一步,但全行业集力镇压DDoS还有很长的路要走。不过,这一天终会到来。

DDoS及网络安全公司Arbor Networks首席工程师罗兰·多宾斯称:“多年前就有预测说,随着对DDoS攻击认知的增加,越来越多的终端客户将坚持DDoS应作为基本要求,而不仅是收取高昂费用的附加服务。如今我们看到了实际操作的例子,这是很重要的一个发展。但除非被广泛部署——当然这不太可能,我们就仍将不断看到DDoS攻击四处开花。”

专家们认同,低价或免费的标准化DDoS防护,可为客户提供有价值服务,并帮助修整整个威胁态势。但多宾斯和其他专家也警告,Project Shield和Cloudflare提供的此类DDoS防护,无论发展得有多广泛,也不能完全清除掉DDoS,因为它们针对的只是某些类型的攻击。”

新品种

Project Shield、Cloudflare和其他DDoS防护,基本上是代表其客户接收Web请求的“反向代理”,评估并过滤请求以消除恶意流量,然后转发安全请求。反向代理还会采取缓存客户网站的办法,不触动客户系统,自行响应某些请求。这些措施在客户和潜在恶意黑客之间构筑了缓冲带;DDoS攻击中,代理承担了大部分攻击流量负担。

该设置可以很好地对付直接攻击,但不是真正意义上通用的DDoS防护,也无意这么宣称。如果攻击者DDoS互联网基础设施组件,比如互联网底层的DNS路由系统,那么即便商业或机构性服务不宕机,连接也会中断。去年秋天,互联网基础设施公司Dyn就遭到了此类攻击,其DNS服务器被拿下。Dyn在其他基础设施公司特别小组的帮助下对抗该攻击时,多个流行站点经历了各种各样的间断性服务掉线。

DDoS问题,是互联网底层架构基本上可被滥用的结果。

另外,由于DDoS更多的是一种概念而非特定具体方法,攻击者不断探索新的方式,利用垃圾数据或请求来让不同渠道过载,让合法请求很难通过。

去年10月,一名黑客散布Java脚本漏洞利用,协同了约1000台智能手机和平板电脑——基本上构成了电话僵尸网络,连续拨打911报警电话,阻塞了911线路,让真正的报警电话无法拨入。

还有些数字袭击,被称为应用DDoS攻击的,就利用少量垃圾数据,有效创建分层系统中的级联请求,像免疫系统疾病一样利用自身功能摧毁自身。攻击者还可以通过在防护不严的私营企业“内网”上训练他们的垃圾数据大炮,来引发破坏。

丹·梅西,DNS安全公司Secure64首席科学家,前美国国土安全部(DHS)DDoS防御研究员。他表示:“没人会说大型互联网基础设施公司向其客户提供免费DDoS防护不好。这是个很不错的想法,能缓解很多攻击。但它帮不了的服务和情况也有那么几类。而且即便是相当大的反向代理提供商,也会遭遇武器不足的窘状。”

于是,Cloudflare这样的反向代理提供的通用DDoS防护,能改善互联网安全状况吗?那是肯定的。而且,如果业内其他厂商跟进,情况会更好。但这一举动能否让DDoS完全绝迹呢?不太可能。

相关阅读

彻底根治DDoS?只有他们才能做到
Leet僵尸网络超过Mirai 发动650G的DDoS攻击
DDoS攻击的暗黑世界:爷爷辈的DDoS已是过去

 

分享:

相关文章

写一条评论

 

 

0条评论