黑客技术所采用的网络技术(黑客应具有的技术)

　　根据德勤全球的预测，分布式拒绝服务(以下简称“DDoS”:Distributed Denial of Service)攻击在2017年将变得规模更大，更频繁也更难抵御(降低影响的严重程度)。德勤预计每个月的平均攻击为Tbit/s21，攻击次数总计超过一千万次，平均攻击规模在1.25-1.5Gbit/s之间。一次没有缓解的 Gbit/s攻击(其影响未能得到抑制)就足以让大部分机构下线。

　　从2013到2015年，攻击的最大规模分别为300、400和500 Gbit/s。2016年里已经发生了两次Tbit/s攻击。(参见下面对DDoS攻击方式的说明)

　　DDoS攻击说明：

　　DDoS攻击的目的在于让网站无法正常使用，也就是说让电子商务网站无法卖东西，让政府网站无法处理纳税申报表，或是让新闻网站无法发布新闻。 最常见的DDoS攻击就是造成网络拥堵。一次DDoS攻击相当于数十万个假冒消费者同时涌入一家传统的实体店。商店很快被挤得水泄不通。

　　真的顾客进不来，商店无法为这些人提供服务，因而也没法做生意。 制造拥堵的方法有很多。最常见的两种就是僵尸网络和放大攻击。

　　僵尸网络由数量庞大(目前是数十万)的互联设备组成，这些设备已经被恶意代码感染，可由第三方操控实施破坏性行为。僵尸网络可用于发 起洪水攻击，这也是目前最常见的攻击形式。

　　第二种方法就是放大攻击，它的原理就是将恶意代码注入服务器，让其创建多个虚假的 IP地址(也称为“电子欺骗”)，它们可以向一个网站 发送大量指令，导致拥堵29。每一个被感染的机器可以创建数千个虚假的IP地址，因此放大攻击通过感染相对较少数量(数千台)的服务器就 能导致大规模的破坏。

　　防御DDoS攻击的标准方法就是将网络访问流量转移到第三方，它专门过滤向网站发送的恶意请求，也就相当于将真正的顾客同假冒顾客区分开来。每一个专门缓解攻击的第三方都有很大(然而有限)的容量来控制攻击，每一个这样的供应商通常可以代表客户同时减缓多个攻 击。至于那些针对客户的攻击，它们的累积容量有时可能会超过第三方应对攻击的容量。

　　主要因为以下三大趋势，我们预测DDoS威胁会升级:

　　1、不安全的物联网设备(比如互联的摄像头和数字视频录像机)的用户数量持续增长，它们通常比个人电脑、智能手机和平板电脑更容易被并入僵尸网络。

　　2、网上存在公开的恶意软件，比如Mirai，使相对缺乏技能的攻击者有能力将不安全的物联网设备并入僵尸网络，利用它们发起攻击

　　3、带宽速度变得更高(包括Gbit/s范围内的增长以及其他超快的消费者及企业宽带产品)，这意味着僵尸网络中每一个被感染的设备可以发送更多的垃圾数据。

　　在过去几年里，DDoS攻击的规模逐步变大，防御手段也相应增长。过去，它就是一个猫捉老鼠的游戏，不会有一方太过强大。不过到了2017年，这种局面可能有所改变，原因有二:不安全的物联网设备数量庞大;利用物联网设备的弱点实施大规模攻击变得更加简单。

　　可能出现的后果就是内容发布网络(CDNs)和本地防御手段无法稳步升级以抵御同时期的大规模攻击，这就需要新的方法来应对DDoS攻击。

　　不安全的物联网设备

　　首先，导致 DDoS 攻击影响升级的一大趋势就是互联物联网设备(从摄像机到数字视频录像机，从路由器到家电设备)用户数量的增加。

　　远程感染一台互联设备(包括物联网设备)通常需要知道它的用户 ID 和密码。在第一次使用一台设备之前，大部分用户都知道有必要更改用户 ID 和密码，之后还会定期更换。但是，在全球数十亿台物联网设备当中，大约有五十万台——所占比例很小，但绝对数量还是较多——据说采用的是硬编码的、无法更改的用户 ID 和密码。换言之，即使用户有这个想法，也无法更改用户 ID 和密码。

　　硬编码的用户 ID 和密码如果不被人知道，也不会成为问题。但是，有编程经验的人查找设备的固件就可以发现硬编码的登录凭据;此外，它们还可能作为参考内容提供给软件开发人员或者出现在用户手册中，也有可能通过非法手段获取之后发布在网络上。易受攻击的设备有可能被召回，不过其所有者可能要过很长时间才会将它们交回。

　　其次，许多用户仅仅因为怕麻烦，不愿意更改登录凭据。在物联网设备上重新设置密码(如果允许，还可以修改用户ID)比用户所料想或习惯的更费劲。在全尺寸的电脑键盘上创建新的用户 ID 和密码很简单，在采用触摸屏的智能手机上也没那么麻烦，但是在没有内置屏幕或键盘的物联网设备上就难多了。但如果不更改登录凭据，就留下了安全漏洞。

　　第三，如果设备没有屏幕或者显示屏很小(比如互联的摄像机或数字录像机)，它们可能无法提示升级的必要，有的甚至无法运行杀毒软件。

　　此外，物联网设备通常采用插入式充电，对于可用电量的损耗没有明显的标志。这一点与受到感染的笔记本电脑、平板电脑或智能手机不一样，如果它们被用于攻击，电池的电量会损耗得更快。

　　如果将被感染的设备用于攻击，通常是察觉不到的:它可能在设备所有者睡觉期间被恶意使用，在另一个时空被用来攻击目标。例如，位于欧洲的设备可以在午夜攻击位于北美西海岸的目标。数几百万台设备被并入僵尸网络，而它们的所有者可能在好几年的时间里毫不知情。

　　此外，设备制造商也没怎么花心思让用户界面能够兼容各种操作系统或浏览器，这就使得更改设置(包括密码)变得更难。

　　与普遍受到更好保护的个人电脑、平板电脑和智能手机相比，物联网设备的弱点更为明显，黑客因此也更喜欢攻击它们。

　　DDoS 对攻击者不再有技能要求过去，限制 DDoS 攻击数量和严重程度的一个因素就是发动攻击的难度。

　　但是到了 2016 年年末，在恶意软件Mirai 的支持下发起 620 Gbit/s 的攻击之后，有关如何复制这一攻击的指导说明就被发布到了网上，而且隐匿了始作俑者的踪迹。发布的内容包括了一系列互联设备(大部分为物联网设备)的默认用户 ID 和密码。这样一来，其他人马上就能轻而易举地复制这一攻击。 2017年，因为种种原因(从好奇到有组织的攻击)，可能还会发生基于Mirai源代码的进一步攻击。

　　不断提升的带宽速度

　　导致大规模攻击更加常见的第三个原因就是不断提升的宽带上行速度。上行速度越快，每一台被感染的设备可以发送的垃圾流量就越多，造成的破坏也就越严重。如果一个用户的设备被感染，其上行速度达到了 Gbit/s，那么它的破坏力相当于一百台上行速度为 10 Mbit/s(这个上行速度更为常见)的受感染设备。

　　2017 年，许多市场将陆续迎来两次重大的网络升级。电缆网络将升级到 DOCSIS 3.1，可以实现数千兆位网速;铜缆网络将升级到 G.fast，通过传统的铜绞线实现每秒数百兆位的速度。经过升级的电缆和铜缆网络可能继续优先考虑下行速度，不过其上行速度也会显著提升 35。

　　另外，全球范围内的光纤到户(FTTH)和光纤到驻地(FTTP)安装设备也在不断增多。

　　截至 2020 年，全球范围内的 Gbit 连接将数以亿计，其中少部分的上行速度也将达到 Gbit36。

　　小结

　　DDoS攻击在2017年不是什么新鲜话题，不过它的潜在规模是。任何一个对网络越来越依靠的组织应该跟上类似攻击的潜在增长。应该保持警惕的组织及项目包括(但不仅限于):在线收入占很大比例的零售商;在线视频游戏公司;流媒体视频服务;在线业务与服务交付公司(金融服务、专业服务);以及政府在线服务项目，比如税务征缴。

　　公司及政府应该考虑多种选择方案，以便减轻DDoS攻击的影响:

分散化:诸如云计算、指挥与控制(C2)、态势感知和多媒体会话控制此类的关键功能都严重依赖高度分享的集中式服务器和数据中心。信息和计算的集中让攻击者能够轻松锁定目标(数据中心、服务器)，可以推动DDoS攻击目标的开发与攻击的实施。各个组织应该设计并实施新的架构，在逻辑和物理上将这些能力分散开，同时确保传统的集中式方案的性能。

带宽超额订购:大型组织考虑到自身的增长和DDoS攻击，通常会租用超出自己需求很多的容量。如果攻击者无法召集足够的流量淹没这个容量，通常无法实施有效攻击。

测试:各个组织应该主动发现那些会削弱检测或抵御DDoS攻击能力的弱点和漏洞。受控的以及友军炮火可以用来检查和测试DDoS响应以及整体恢复能力的进展。这样一来，就可以发现测试场景设计、度量、设想和范围上的缺陷，增加对潜在的DDoS攻击方法或特点(之前可能被忽略)的认知。

动态防御:目标静态的、可预测的行为易于攻击的规划与实施。公司应该采用灵活多变的防御方法，它们可以根据实际情况进行调整;准备工作应该包括欺骗方式的设计，建立一个虚假的现实迷惑攻击者，分散攻击流量。

撤退方法:在线流媒体公司可能需要考虑是否提供离线模式;例如，允许客户预先加载内容，事后观看。

防护:应该鼓励甚至强制要求设备供应商为自己的产品获得安全认证，并在外包装上加以标记。登录凭据的更改应该简单而安全。理想情况下，产品应与定制的凭据配套，对一台设备而言，凭据都是独一无二的。这就意味着没必要依赖客户重新设置ID和密码。应该鼓励潜在客户购买通过认证的产品37。软件也应该引入分级系统38;

检测:基于地域对流量进行过滤——如果流量从一个地方涌来，就有必要视为可疑的情况;此外，过滤掉那些看上去大到可疑的流量(之前并不活跃的1 Gbit/s的连接);但是，如果连接的数量增加，合理的大流量也可能增加。

抵御:电信公司也有可能被要求在DNS层级进行过滤，如有需要可以追踪来自其他国家的流量。

有些实体可能对DDoS 攻击已经有些漠然了。但是，这些攻击可能随着时间会变得更具破坏力，攻击者也可能想出更加独出心裁的办法。不幸的是，我们在DDoS 攻击这件事情上决不能松懈。DDoS 恶魔已经跑到瓶子外边，不可能再把它塞回去了。

　　DDoS 在中国——攻守进一步升级

　　在中国 , DDoS 攻击同样在流量与维度上 不断升高。2016 年，乐视遭遇了其成立 以来最大的一次恶意 DDoS 攻击，峰值 流量高达 200Gbps，使其电视端、手机端、 网页端处于瘫痪状态而无法登陆。此外， 众多互联网金融平台亦曾遭遇过无法应 对的大流量 DDoS 攻击，而对于该类企 业而言，数小时的服务器暂停运行足以 造成客户流失。在中国，约有 24% 的被 攻击网站在攻击一周内受到致命影响 39， 表现为日均流量下降超过 70%，而平均 1/4 的公司会在遭遇 DDoS 攻击一月内 彻底死亡。DDoS 防护失败的种种案例助长了攻击方的强势，在软硬件进一步 升级的当下，可以预见 DDoS 攻击将愈 演愈烈。尽管如此，中国是 DDoS 全球 主力输出国家之一，在 16 年一场针对北 美 Dyn 公司的 DDoS 攻击中，来自中国 的 IP 地址数量高达 10%40，是第三大攻 击输出国家。

　　我们预期在 2017 年，来自中国的 DDoS 攻击与中方抗 DDoS 防御之战将进一步 升级。攻击方将组织更大流量更高峰值 的 DDoS 攻击，促使对 DDoS 防护体系 的专业需求上升。面对攻击方的严峻考 验，防护攻击方将呈现两极分化态势， 大型企业将成为防护主力。

　　DDoS 攻击在中国将呈现大流量、高峰 值态势 正在迈向信息化、智能化时代的中国，使攻击方组织大规模 DDoS 的难度降 低。目前我国 DDoS 最高峰值流量约为 500Gbps，而在 2017 年，这个记录极 有可能被刷新并踏入 TGbps 时代。其原 因有三:

　　首先 , 智能手机与电脑的快速普及降低 了发动 DDoS 攻击的硬件需求。我国目 前的主流 DDoS 攻击设备是主机端与移 动端，攻击方利用免费软件陷阱散播感 染程序，预装于大量主机与智能手机中。 在必要的时候，这些潜伏的感染机将成 为攻击武器，联合攻打作战目标。而随 着智能手机与电脑普及率的快速上升(参 见图表 3)，潜在的攻击武器数量随之 上升，以该方式发动 DDoS 攻击峰值可 达数百 Gbps，对大部分非专业防护企业 造成致命影响。

　　其次 , 全国带宽的大幅度提升显著加强了 DDoS 攻击力度。截止 2015 年底我国平 均城市宽带接入速率已达到 20M，而预 计到 2020 年底，我国城市宽带接入速 率将达到 50M41。同时，上海、广州、 深圳等一线城市已先后迈入千兆网络时 代。宽带提速给居民生活带来方便的同 时，也引起了高强度网络攻击的安全隐 患，黑客控制同等数量的主机便可借由 翻倍的带宽而获得翻倍的 DDoS 攻击流 量。

　　再者 , 爆发式的物联网设备发展始的安全 隐患攀升。物联网设备有数量多、安全 防护低的特点。根据工信部数据，2015 年我国物联网产业规模达到 7500 亿元 人民币，同比增长 29.3%。预计到 2020 年，中国物联网整体规模将超过 1.8 万 亿元。

　　而与此同时，物联网设备的安全隐患并 未得到应有的重视。大部分智能硬件都 存在不同程度的固化密码或固件无法升 级的隐患，2016 年我国多家物联网设备 企业大批召回存在安全漏洞的设备，如 小米旗下的小蚁摄像机曾被曝出应用管 理程序存在远程执行的漏洞，有心人无需密码就可进行远程操控危害个人隐私。此外，物联网设备长时间插电的供电形 式，也使其异常运转状态难以被察觉。 物联网繁荣背后或将成为网络安全的致 命伤。

　　DDoS 防护体系需求将直线上升

　　在 DDoS 网络攻击规模和频率上大幅增 加的大背景之下，大多中小型企业将无 法以自身技术与资源来应对，而近两年 的创新创业热潮引起大批初创企业涌现， 使互联网专业管理与防护的需求直线上 升，网络安全成为了这批企业关注的焦 点之一。

　　DDoS 攻击具有无法避免、无法预见的 特点，且对抗 DDoS 的传统技术需要强 大的出口带宽、流量清洗功能以及反应 敏捷的防御团队，这正是大部分中小企 业不具备的能力。也因此，厂商纷纷选 择购买专业流量清洗防护抵御DDoS攻击。

　　随着大批互联网初创企业的涌现与日益 严峻的网络安全问题凸显，不具备抵抗 能力的企业向专业防护企业求助的频率 将大幅上升。外包互联网管理与防护而 非自己组建抵御团队将成为许多中小企 业的首选。

　　DDoS 防护供给方将呈两极分化态势 随着 DDoS 攻击在流量和维度上的不断 演进，不仅使受害企业陷入危机重重， 更是一场攻击方和防护方之间的竞争。 一旦防护方企业落后于攻击发展速度， 该企业将被市场淘汰。对许多中小型网 络服务与安全防护提供商而言，数十乃 至上百 Gbps 的 DDoS 攻击已是防御上 限，若这些企业未能在较短时间内提升 防护能力，将无法应对席卷而来的数百 G乃至T级别的DDoS攻击。

　　背靠强大的带宽、强力的数据清洗能力 以及富有经验的反应团队，提供网络 安全防护的龙头企业将成为抵抗大流 量 DDoS 攻击的主力。目前我国几家抗 DDoS 的大型企业已能独立防护 TGbps 级别的攻击。面临严峻的考验，龙头企 业在抗 DDoS 防线的横向合作趋势愈加 凸显。通过优势领域的合作互补以及数 据库共享，新推出的 DDoS 防护产品或 将提供更全面的防御。

　　而在另一头，部分创企试图从终端着手， 将安全防护薄弱的物联网设备捆绑至云 端并采用混合加密的方式来防止黑客入 侵。DDoS 的传统防护方式需要极高的 成本，这也促进了企业从其他角度切入 寻找低消耗更有效的方式来抵御 DDoS 的攻击，创新防护方式或将出现。