譯介了位于愛沙尼亞塔林的北約協(xié)同網(wǎng)絡防御卓越中心（NATO CCDCOE）專家阿圖斯·拉夫列諾夫的文章。文章認為，全球分布式拒絕服務攻擊（DDoS）日益普遍，攻擊規(guī)模和帶寬屢創(chuàng)新高，對全球互聯(lián)網(wǎng)安全運行帶來巨大威脅。傳統(tǒng)的應對DDoS攻擊的思路越來越難以奏效，必須引入更多參與方，齊抓共管共同促進對全球DDoS攻擊的治理。

　　摘要：近20多年來，互聯(lián)網(wǎng)全球基礎(chǔ)設施的運營者一直在與分布式拒絕服務（DDoS）攻擊進行斗爭。本文回顧了當前應對反射式放大DDoS攻擊的各種響應策略，并提出了使響應不能充分發(fā)揮效力、需要進一步充分研究的問題。本文指出，有效應對DDoS攻擊的努力應引入其他參與者，并分析了其參與的動機和動力來源。長期以來，在應對DDoS攻擊方面一直困擾人們的問題是，在確保設備于生命周期內(nèi)正常工作前提下，能否以比協(xié)議被棄用更快的速度修復被濫用的協(xié)議?，F(xiàn)在看來情況確實如此。利用Memcache協(xié)議漏洞發(fā)動DDoS攻擊能力在2020年5月為319Mbps，而在兩年前這一數(shù)值為1.7Tbps。因此，這種攻擊可以被認為是完全修復了。本文將分析該類攻擊響應成功的主要原因，以及該方法是否可以被用于緩解其他經(jīng)常被濫用的協(xié)議攻擊，通過使用反射器能力測量方法。相比之下，長期被濫用的DNS協(xié)議攻擊并沒有出現(xiàn)顯著的攻擊帶寬下降，還徘徊在27.5Tbps左右。

　　關(guān)鍵詞：DDoS攻擊，DDoS攻擊能力，DDoS攻擊修復，反射器，放大器

　　一、簡介

　　史上第一次DDoS網(wǎng)絡攻擊發(fā)生于20年前，其后不久就發(fā)生了反射式放大DDoS攻擊，此后就一直困擾著互聯(lián)網(wǎng)。雖然近年來通過互聯(lián)網(wǎng)掃描項目發(fā)現(xiàn)的反射器數(shù)量一直在穩(wěn)步下降，但其攻擊能力卻在不斷上升，并創(chuàng)造出新的記錄。一個理性的觀察者會認為，我們的技術(shù)社會有能力解決這一久已知曉的技術(shù)挑戰(zhàn)，也許他更想知道，為什么我們沒有做到這一點。

　　本文將只討論反射式放大DDoS攻擊，雖然攻擊者期望對受害者制造的效果是相同的，并且可能在不同類型的攻擊中經(jīng)常出現(xiàn)，但響應策略卻大不相同。被入侵的設備形成的僵尸網(wǎng)絡發(fā)動的直接攻擊日益吸引執(zhí)法機構(gòu)、互聯(lián)網(wǎng)服務提供商（ISP）和行業(yè)組織的更大關(guān)注。

　　網(wǎng)絡中偽造源IP地址和大量反射器的存在是造成DDoS攻擊難以得到根治的兩個根本原因。能夠租用或入侵管理不善聯(lián)網(wǎng)主機的攻擊者可以利用空余的上傳帶寬，使用偽造的受害者IP地址的將數(shù)據(jù)包發(fā)送到公網(wǎng)，而后者通常會向受害者IP地址發(fā)送更大的數(shù)據(jù)包作為應答。當前的應對策略是擴散網(wǎng)絡配置，確保只有具有合法的源IP地址的數(shù)據(jù)包才能從各個網(wǎng)絡（BCP 38、BCP 84）進入Internet并力圖消除反射器。可被偽造的網(wǎng)絡IP地址在全球地址中所占的百分比和被濫用協(xié)議使用的反射器數(shù)量都在不斷減少，這表明上述策略正在發(fā)揮作用，至少在一定程度上是有效的。然而DDoS攻擊仍在不斷打破新的攻擊帶寬記錄。

　　2020年以來，解決DDoS攻擊問題變得比以往任何時候都更加重要。全球新冠肺炎的大流行，幾乎立即將整個教育系統(tǒng)和可在線完成的工作轉(zhuǎn)移到了家中。訪問不同的遠程系統(tǒng)已成為所有受影響者的必需品。以往，針對許多組織的DDoS攻擊可能造成的只是有限的負面影響和聲譽損害，員工和學生的日常工作和學習仍可在本地或通過本地可訪問系統(tǒng)繼續(xù)進行。現(xiàn)在，DDoS攻擊可以中斷依賴被攻擊系統(tǒng)的遠程用戶的所有工作和教育。這已經(jīng)成為現(xiàn)實：一名高中生對某電子學習平臺的DDoS攻擊造成了17萬名用戶的在線課程中斷。如果新的破紀錄的DDoS攻擊繼續(xù)以最大的在線協(xié)作工具為目標，將對全球經(jīng)濟產(chǎn)生什么影響？

　　二、相關(guān)的研究工作

　　DDoS是一個被廣泛研究的主題。它通常遵循新興技術(shù)出現(xiàn)后的典型路徑，例如：軟件定義網(wǎng)絡（SDN）、區(qū)塊鏈、人工智能，研究人員將其應用于DDoS問題研究，但往往是在攻擊已經(jīng)到達受害者之后。造成DDoS泛濫的根本原因是雙重的：偽造源IP地址能力和互聯(lián)網(wǎng)上大量反射器的存在。研究人員正試圖聚焦解決這些方面?！皯没ヂ?lián)網(wǎng)數(shù)據(jù)分析中心”的機構(gòu)正在運行一個名為Spoofer的長期項目，以評估和監(jiān)控允許注入帶有偽造IP地址數(shù)據(jù)包的網(wǎng)絡。通報工作被密切關(guān)注，并分析通報和響應工作之間的相關(guān)性，從而對網(wǎng)絡安全防御工作產(chǎn)生積極影響，尤其是在發(fā)生反射式DDoS攻擊的情況下。有研究機構(gòu)曾嘗試通過技術(shù)手段過濾偽造IP地址的數(shù)據(jù)包而不用去修復管理不善的網(wǎng)絡，雖然這些方法在仿真環(huán)境中表現(xiàn)出很高效率，但這種方法尚未被廣泛采用。

　　對反射器的研究是可以量化的。它通過掃描互聯(lián)網(wǎng)，以發(fā)現(xiàn)可用于反射攻擊的特定端口和協(xié)議。這種方法可在協(xié)議開始被濫用或正在調(diào)查未來濫用的可能性時采用。通常，此類研究不會調(diào)查被濫用的設備是什么，或者其對攻擊能力的貢獻。大多數(shù)研究側(cè)重于攻擊的后果，而不是了解和解決根本問題。有研究機構(gòu)探討了DDoS攻擊的狀況，并提出在完全依賴響應服務提供商報告的峰值攻擊能力的同時，需要采取根本性的轉(zhuǎn)變和并進行更多的研究來解決該問題。

　　對全球DDoS攻擊能力的評估可以確定哪些被濫用的協(xié)議貢獻最大以及哪些區(qū)域的風險最高，有研究機構(gòu)提出的測量方法可以識別貢獻最多、最少主機的網(wǎng)絡和區(qū)域。實驗室環(huán)境中反射器能力的綜合測量雖然對于進一步了解全球攻擊帶寬很重要，但不能涵蓋互聯(lián)網(wǎng)上的所有設備和網(wǎng)絡條件。

　　三、參與者及其動機

　　深諳互聯(lián)網(wǎng)生態(tài)的參與者可以為在響應DDoS攻擊中苦苦掙扎的我們提供一些解決問題的線索。普通互聯(lián)網(wǎng)用戶只想訪問組織提供的互聯(lián)網(wǎng)服務。惡意行為者的能力和動機則范圍廣泛，但其終極目標是試圖阻止用戶訪問特定服務。目前大多數(shù)已發(fā)表的研究都集中在上述類型的參與者方面，但還有其他一些參與者或許有助于解決問題或修復影響。

　　3.1 ISP和中轉(zhuǎn)服務提供商

　　許多中轉(zhuǎn)服務提供商以及部分ISP和數(shù)據(jù)中心無法對大規(guī)模應用層DDoS攻擊進行過濾。這類參與者的目標是為所有客戶提供網(wǎng)絡服務，同時確?？蛻魸M意度和服務水平。如果攻擊的規(guī)模不影響其他客戶，攻擊流量可能會被傳遞給受害者。受害者可能有抑或沒有應對攻擊的手段。如果攻擊規(guī)模大到足以影響其他客戶，那么中轉(zhuǎn)服務提供商必須試圖降低其影響，通?？尚械姆椒ㄊ窃诰W(wǎng)絡拓撲中盡可能遠離受害者的地方實施黑洞。當被攻擊的服務失去連接時，可以認為攻擊是成功的。

　　互聯(lián)網(wǎng)服務提供商正在將其網(wǎng)絡上存在開放反射器的成本外部化。對其而言，即使存在網(wǎng)絡帶寬方面的消耗對其服務也沒有負面影響。專注于特定用戶群的網(wǎng)絡，如城市小區(qū)用戶或數(shù)據(jù)中心，通常就有不平衡的網(wǎng)絡帶寬消耗，因此存在未使用的帶寬容量。當城市小區(qū)ISP網(wǎng)絡中的反射器產(chǎn)生放大效應時，其會消耗這個未使用的上傳帶寬容量。只要這種消耗相對較小并且不影響其他客戶端或網(wǎng)絡路由器，就不會對ISP產(chǎn)生不良影響，因此其也就沒有動力去解決這個問題。

　　DDoS攻擊的目標通常是托管在數(shù)據(jù)中心的商業(yè)服務，其不平衡性使得可以接受攻擊帶來的下載帶寬，而無需在預留帶寬容量范圍內(nèi)增加任何額外費用。如果可用帶寬容量足夠大并且網(wǎng)絡有一定的過濾解決方案，則可以進一步減輕攻擊。數(shù)據(jù)中心越大，其網(wǎng)絡的可用帶寬容量就越大，這意味著可以過濾更大的攻擊流量。世界上一些最大的數(shù)據(jù)中心確實可以用很小的成本甚至免費過濾DDoS攻擊，并且可以應對大多數(shù)攻擊。較小的數(shù)據(jù)中心和ISP則可能會被一次攻擊所淹沒。

　　如果ISP通過向生成和使用帶寬的客戶提供服務或通過出售未使用的容量作為傳輸來平衡帶寬，則其可能獲得經(jīng)濟動力，從而將浪費的帶寬保持在最低限度。技術(shù)解決方案或網(wǎng)絡監(jiān)管方案和管理可以顯著減少ISP的帶寬浪費。

　　沒有任何立法專門針對網(wǎng)絡上存在開放反射器的問題，即使來自特定反射器集合的DDoS攻擊造成了可證明的損害，責任也可能被轉(zhuǎn)移至托管這些反射器的終端客戶端。總體而言，存在大量開放式反射器的網(wǎng)絡的ISP沒有解決此問題的動機。

　　3.2 響應服務提供商

　　DDoS響應服務經(jīng)常會吸流互聯(lián)網(wǎng)上最大的攻擊。這些服務提供商可專門提供DDoS攻擊過濾或附帶的內(nèi)容分發(fā)網(wǎng)絡（CDN）等其他網(wǎng)絡服務。其商業(yè)模式直截了當：擁有超過最大預期攻擊的入口帶寬容量，部署過濾解決方案，在將合法數(shù)據(jù)包轉(zhuǎn)發(fā)到客戶網(wǎng)絡，同時丟棄攻擊流量。

　　每當出現(xiàn)新的協(xié)議被濫用或新的攻擊流量規(guī)模記錄被打破時，這些響應服務提供商都會發(fā)布技術(shù)報告。這些報告被學術(shù)界、工業(yè)界和媒體大力引用，用于例證DDoS的能力和已成為最大攻擊源，使其成為免費全球營銷的絕佳來源。

　　只要預期的攻擊流量及其未來增長是可控的并且沒有破紀錄的攻擊事件發(fā)生，這些響應服務提供商就處于安全的市場地位。它們對當前情況以及需要首先解決的問題擁有最專業(yè)的見解。但是，徹底修復這些攻擊不符合其利益，因為其將失去競爭優(yōu)勢甚至整個商業(yè)模式。

　　3.3 設備制造商

　　經(jīng)常被忽視的是，大量反射器并非必不可少的公共服務，而是連接到互聯(lián)網(wǎng)上的具有默認配置的住宅和商業(yè)設備。這類具有路由器功能且具有獨立內(nèi)外部網(wǎng)絡接口的設備加劇了該方面問題。用戶可能需要內(nèi)網(wǎng)接口上的服務，但這不會導致開放反射器問題；而對外網(wǎng)絡接口上的服務可能包含開放反射器，但這通常不是向用戶提供服務必需的功能。

　　住宅用戶設備制造商通常力求使其產(chǎn)品盡可能價格低廉，這有時是通過偷工減料來實現(xiàn)的；軟件質(zhì)量和安全性首當其沖成為被犧牲的部分。這些設備暴露在互聯(lián)網(wǎng)上，可遠程訪問修改控制面板配置、默認的賬號密碼或者軟件中的漏洞都可被用來進行滲透攻擊，并使這些設備成為僵尸網(wǎng)絡的一部分。這些設備的用戶甚至可能不會注意到，或者其可能想知道為什么需要輸入驗證碼（CAPTCHA）次數(shù)變得愈加頻繁，或者為什么互聯(lián)網(wǎng)訪問有時會變慢。在更極端情況下，用戶的信息可能會被盜取，或者設備進一步被利用以接管網(wǎng)絡上的其他設備。如果一個制造商生產(chǎn)的設備被大規(guī)模利用并對用戶造成嚴重后果，這將會引發(fā)負面宣傳。因此，鼓勵設備制造商盡量減少此類事件的發(fā)生并積極修復攻擊影響，以免其再次發(fā)生。大量用作開放式反射器的設備不會直接傷害用戶，但聲譽受損會促使設備制造商解決這個問題。

　　3.4 政策制定者和立法機構(gòu)

　　在所有發(fā)達國家，實施DDoS攻擊已經(jīng)屬于適用某些刑事條款的行為。造成反射式DDoS攻擊的惡意行為者是最難以識別的?；ヂ?lián)網(wǎng)和DDoS攻擊的全球性質(zhì)可能意味著針對在一個司法管轄區(qū)注冊公司的單一攻擊，可能會影響到物理上托管在一個或多個其他司法管轄區(qū)的服務，并可能是由位于另一個司法管轄區(qū)的攻擊者，利用其他司法管轄區(qū)的任意數(shù)量的偽造IP地址和反射器所引發(fā)。雖然起訴罪犯和影響國際法是一項較大的挑戰(zhàn)，但立法和監(jiān)管機構(gòu)致力于改善公民的生活，應鼓勵其采取措施打擊DDoS攻擊。

　　四、對DDoS攻擊進行響應

　　最顯而易見的響應工作是找到開放式反射器所處的來源網(wǎng)絡并通知該網(wǎng)絡的管理員。其他簡單易行的解決方案亦可發(fā)揮效用。

　　4.1 通報網(wǎng)絡管理員

　　許多學術(shù)和行業(yè)組織都在積極開展對互聯(lián)網(wǎng)上可訪問的已知濫用服務的掃描，并通報網(wǎng)絡或濫用服務的聯(lián)系人。如果網(wǎng)絡管理得當，這些通報會轉(zhuǎn)發(fā)給最終客戶，甚至可能會協(xié)助客戶解決問題。一些網(wǎng)絡可能有特定的服務條款，要求客戶端限制或阻止其反射器行為。管理不善的網(wǎng)絡甚至不會轉(zhuǎn)發(fā)這些通知。在運行反射器蜜罐系統(tǒng)時，我們在一些管理良好的網(wǎng)絡上發(fā)現(xiàn)了大量轉(zhuǎn)發(fā)通報，但其有效性比較有限。

　　可供長期被濫用協(xié)議利用的反射器數(shù)量似乎正在減少，但目前尚不清楚通報工作在此當中發(fā)揮的作用。目前尚未有對此進行的深入研究，因此無法做出可靠的斷言。一種可能的替代解釋是，可被濫用的設備一直存在于互聯(lián)網(wǎng)上，直到其生命周期結(jié)束或者網(wǎng)絡配置發(fā)生變化，其所帶來的影響與任何修復攻擊的努力完全無關(guān)。

　　通報電子郵件的重復性，加之網(wǎng)絡缺乏任何可感知的重要價值，使上述方法的有效性受到質(zhì)疑。針對每個網(wǎng)絡計算其潛在帶寬容量浪費可以用于對損失進行評估，這似乎可提供一些能夠感知的價值。衡量這種通報方法的效果并不容易，但通過跟蹤特定網(wǎng)絡背后鏈路和帶寬容量隨時間的變化，可提供詳細的報告以了解方法有效性。

　　4.2 ISP和網(wǎng)絡中立

　　盡管網(wǎng)絡中立性多年來直是一個熱門話題，但ISP為了自身利益而在某些協(xié)議中違反網(wǎng)絡中立的先例廣泛存在。雖然對城市小區(qū)和移動網(wǎng)絡的深度包檢測（DPI）和流量整形技術(shù)已得到廣泛研究，但ISP和數(shù)據(jù)中心阻止或限制特定端口的鮮為人知和經(jīng)過測量的做法尚未被廣泛研究。最常見的是，ISP和數(shù)據(jù)中心會針對電子郵件發(fā)送端口，默認關(guān)閉但提供可選擇的退出功能，以及配備進行速率限制或過濾的系統(tǒng)。為什么客戶對這兩個案例的看法不同是有爭議的，可能有人認為提供退出選項就已足夠。

　　甚至在反射式DDoS攻擊成為常態(tài)之前，垃圾郵件就已經(jīng)成為一個問題。因為垃圾郵件直接影響用戶和企業(yè)的生產(chǎn)力和安全性，因此網(wǎng)絡安全人員開發(fā)了各種應對方法，主要是垃圾郵件過濾和將受感染主機列入黑名單。然而，垃圾郵件過濾難以做到100%精確，同時也難以關(guān)閉所有受感染主機的IP地址。如果網(wǎng)絡管理員不對垃圾郵件主機采取措施，則同一網(wǎng)絡上的其他垃圾郵件主機也會發(fā)生同樣的情況。將整個網(wǎng)絡列入黑名單或降低其信譽似乎是保護用戶的合理措施，但由于管理個人黑名單非常耗時，許多電子郵件服務都使用全局黑名單機制。

　　如果ISP希望為客戶提供直接發(fā)送電子郵件的能力，而不被大多數(shù)接收者拒絕或歸類為垃圾郵件，其必須使自己被排除在黑名單之外。每當網(wǎng)絡上有濫用主機出現(xiàn)時，必須迅速采取行動，通過限制網(wǎng)絡連接或要求客戶端解決問題來阻止其發(fā)送垃圾郵件。否則，客戶端將無法發(fā)送電子郵件，因此ISP只能為不需要該功能的客戶提供服務。大多數(shù)ISP選擇處理垃圾郵件問題以避免被添加至黑名單中。

　　一些ISP選擇將網(wǎng)絡管理不善的成本外部化，并且沒有動力采取其他行動。如果以打擊垃圾郵件的黑名單方法來說服其改善網(wǎng)絡管理可能容易奏效，但這要取決于被添加到黑名單的成本。除了垃圾郵件之外，還需要有其他黑名單。通常由存在惡意行為的單機（或小型子網(wǎng)）組成，例如傳播惡意軟件、主動掃描、探測服務或暴力破解安全憑據(jù)等。這些黑名單通常負責提高安全性的政府部門或其他組織部署。令人吃驚的是，這可能根本不會觸動ISP，因為非濫用客戶端可能不會受到任何限制。考慮到反射器本身并非惡意的，將其列入黑名單毫無

　　上述討論的攻擊行為將可能降低網(wǎng)絡的整體聲譽。根據(jù)其聲譽將整個ISP納入灰名單可能是有效的方法，因為這會影響到許多客戶。一些主機的暴力破解行為可能會使依賴網(wǎng)絡信譽的網(wǎng)站要求所有ISP用戶始終輸入驗證碼（CAPTCHA）。信用卡交易或其他活動可能會因為被標記為潛在欺詐，必須進行手動處理，是交易大大延遲或默認失敗?？蛻魸M意度會因此而下降，促使其尋找另一個提供經(jīng)濟激勵的ISP。對于允許偽造IP地址數(shù)據(jù)包的網(wǎng)絡，并且相應的偽造IP地址行為被證明正在積極發(fā)生，才能適用上述灰名單機制。

　　我們可能需要一種新型的DDoS灰譽名單機制和一種處罰ISP方法。這種處罰應該與DDoS問題相關(guān)。例如，許多DDoS響應服務使用的驗證碼（CAPTCHA）機制可以用于處罰已知的允許發(fā)送大量使用偽造IP地址數(shù)據(jù)包或包含不成比例的大量開放反射器的網(wǎng)絡。

　　每當討論到需要第三方實施的新法規(guī)時，總會出現(xiàn)成本問題。這是國家政府要求ISP采用諸如昂貴的深度報檢測（DPI）或數(shù)據(jù)留存系統(tǒng)時常發(fā)生的情況。阻止目的IP地址為反射器的數(shù)據(jù)包和IP地址偽造的基本解決方案既簡單又便宜。對ISP的現(xiàn)有設備而言，阻斷到所有到已知被濫用端口的互聯(lián)網(wǎng)數(shù)據(jù)包的難度是微不足道的，而且是免費的。唯一可能的成本是管理或提供客戶選擇退出的自助服務功能。

　　4.3 設備和法規(guī)

　　減少消費設備上運行的開放式反射器是我們現(xiàn)在可以著手解決的問題。美國加利福尼亞州立法機構(gòu)通過了一項法案，要求聯(lián)網(wǎng)設備采取基本的安全措施來保護消費者。雖然這不會直接影響消費者，但要求外部接口在默認情況下不提供任何不需要的服務，該立法沒有理由不提高互聯(lián)網(wǎng)的整體安全性。如果至少有一個大規(guī)模市場中合理引入這類規(guī)定，那此類設備的制造商向所有市場提供相同的安全版本將更具有成本效益。

　　雖然立法機構(gòu)也可能要求ISP提供具備選擇退出功能的基本防火墻，但其難以對其他司法管轄區(qū)產(chǎn)生足夠大的影響。由于現(xiàn)行商業(yè)模式下，很少對消費設備進行補丁操作，因此舊設備可能會繼續(xù)貢獻反射器容量，直到生命周期結(jié)束而不受ISP監(jiān)管。

　　為了從設備角度著手解決該問題，我們需要了解哪些類別設備和制造商對帶寬容量的貢獻最大。然后，可以直接聯(lián)系最知名的制造商，并將這些事實提交給立法機構(gòu)以證明采取行動的合理性。只有當國家立法被證明有效時，才有理由為國際法律和規(guī)則進行游說。

　　五、測量DDoS攻擊能力

　　了解DDoS攻擊能力對于研發(fā)和驗證更有效的響應策略是十分必要的，這是當前DDoS研究所欠乏的關(guān)鍵信息之一。我們已經(jīng)使用有關(guān)研究建議的方法來測量兩個非常不同的被濫用協(xié)議——Memcache和DNS。

　　5.1 內(nèi)存緩存（Memcache）

　　自2018年以來，Memcache一直是DDoS攻擊規(guī)模的記錄保持者，據(jù)報道，2018年觀察到的攻擊帶寬達到了1.7Tbps。我們在2020年5月觀測到其攻擊能力僅為319Mbps，僅有12個反射器貢獻這些攻擊流量，其可能是被部署用以吸引攻擊的蜜罐系統(tǒng)。測量方法允許從計算中排除無關(guān)緊要的主機。因此，利用該協(xié)議攻擊可以被視為被完全消除，并且可能不會再度出現(xiàn)。由于對攻擊帶寬理解方式的不同，決策者和公眾可能會錯誤地認為當前被引用最多的帶寬數(shù)字是相關(guān)的。該協(xié)議和攻擊規(guī)模被錯誤地視為主要問題有多久了？

　　該協(xié)議攻擊被清除的速度有多快？利用在特定網(wǎng)絡測量峰值和某一時間點對攻擊流量的單一測量本質(zhì)上沒有什么不同。解決方案是讓系統(tǒng)持續(xù)測量每個被濫用協(xié)議的攻擊能力，這樣可以快速添加新監(jiān)測到的被濫用協(xié)議。

　　該協(xié)議是一個值得注意的案例，不僅因為其創(chuàng)記錄的攻擊規(guī)模，還因為快速被消除和部署方面的差異。長期以來，大多數(shù)被濫用的協(xié)議存在于Interne上可訪問的低功耗消費設備上。Memcache協(xié)議通常部署于企業(yè)環(huán)境中，其中每個主機都可以在10Gbps連接上擁有1Gbps帶寬。該協(xié)議被用于提供高性能服務，這意味著軟件也不構(gòu)成瓶頸。每個反射器都可用于填滿可用的帶寬容量，這將對其主要功能產(chǎn)生負面影響，這可被管理員用于發(fā)現(xiàn)異常。通報工作可及時提醒負責任的管理員，其有動力和能力采取行動。由于該協(xié)議影響了DDoS攻擊響應服務提供商，其積極參與了響應工作。

　　5.2 域名協(xié)議（DNS）

　　對利用DNS進行DDoS攻擊的響應存在顯著差異。它是最早在互聯(lián)網(wǎng)上被濫用的協(xié)議之一，用于反射放大DDoS攻擊，直到今天仍未得到修復。2020年5月，利用DNS協(xié)議進行攻擊的全球流量達到27.5Tbps（按80%的最低響應率要求，每個國家/地區(qū)最低流量為1Gbps；見圖1）。這種類型的展示對于流量的估計很常見，提供比純開放式反射器統(tǒng)計更為詳細的信息。如圖所示，中國和美國列為最大的流量貢獻者，其次是具有高速互聯(lián)網(wǎng)連接的發(fā)展中國家和發(fā)達國家。

　　圖1 DNS反射攻擊流量（按國家）

　　這一數(shù)字與我們2018年8月的測量值37.6Tbps非常接近。雖然看起來攻擊流量似乎顯著減少，但必須考慮網(wǎng)絡變遷、網(wǎng)絡拓撲中測量點位置以及缺乏解決網(wǎng)絡測量錯誤的有效方法。即使我們假設測量結(jié)果具有可比性且測量誤差很小，但相對于完全清除的基于Memcache協(xié)議的攻擊流量，其隨時間推移而發(fā)生的變化仍很小。

　　根據(jù)Cloudflare的統(tǒng)計，反射發(fā)送Memcache數(shù)據(jù)包的前兩個網(wǎng)絡是OVH和Digital Ocean，兩者都參與了響應工作，可能對反射器端口設置了網(wǎng)絡防火墻或者與客戶端使用者進行了直接聯(lián)系。這些網(wǎng)絡仍然是濫用DNS協(xié)議流量的主要貢獻者，測得的DNS反射器流量分別為1.4Tbps和200Gbps。這兩個網(wǎng)絡提供數(shù)據(jù)中心和托管服務，并且應該重視其輸出帶寬流量，同時了解這些非法流量的影響，因為其本身就是攻擊的主要目標。這表明反射器所在的ISP類型不是響應結(jié)果的決定因素，或者不是唯一的決定因素。響應結(jié)果差異的原因可能是多種因素的組合——反射器數(shù)量少、連接帶寬高，或者對于Memcache協(xié)議而言，定位于非住宅網(wǎng)絡中。這可能會極大地激勵一些參與者，但目前沒有經(jīng)驗證據(jù)支持該理論。

　　六、結(jié)果與討論

　　我們已經(jīng)知道了實現(xiàn)反射式DDoS攻擊和進行針對性技術(shù)響應的兩個基本點——消除開放的反射器或偽造IP，或兩者兼而有之。但我們無法立即著手普遍性地實施這些措施。從數(shù)量上而言，在兩個方面有效地修復受到不斷增加的帶寬容量的挑戰(zhàn)。我們需要不斷改進響應策略，從需要最少努力的改進開始，這不會遭遇任何阻力，以不斷累進實現(xiàn)積極效果。我們討論了可參與響應策略的一些其他參與者，包括ISP、設備制造商和立法機構(gòu)等，但其目前仍缺乏參與的激勵和動力。對所有這些參與者而言，最大的阻礙來自缺乏對攻擊能力的了解，因此無法衡量改進措施的意義，并評估采取任何新措施的有效性。DDoS攻擊響應服務提供商目前壟斷了這些知識，并且沒有動力去改善這種局面。我們已經(jīng)通過對攻擊流量的測量確認，在合理的時間范圍內(nèi)對高度濫用的協(xié)議（例如Memcache）進行全面修復是可能的，這是對其他協(xié)議所未觀察到的。相比之下，在過去兩年中，從攻擊流量角度來看，利用DNS進行修復一直停滯不前。

　　我們提出了許多可以通過全面研究DDoS攻擊的根本原因而不是力圖消除其影響來解決問題的方案。攻擊流量研究和分析是衡量響應工作的有效性和驗證未來可能修復策略建議的關(guān)鍵。我們需要衡量特定ISP和設備制造商的對消除攻擊流量貢獻，以便將其納入未來的通告，彰顯其貢獻的影響。我們同樣需要用可靠和獨立的數(shù)據(jù)來證明任何立法努力的有效性。