【51CTO.com 綜合消息】當前，大規模復雜的、混合的DDoS攻擊愈演愈烈，這對于網絡資源的保護提出了新的挑戰。由于企業向云計算模式轉移的步伐越來越快，數據中心作為大量虛擬數據的存儲地，已經成為DDoS的重要攻擊目標，這種單點攻擊所產生的危害程度遠遠大于那些直接受攻擊對象。

DDoS攻擊移師云計算

《Arbor第五期全球互聯網基礎設施安全年報》通過對北美洲、南美洲、歐洲、非洲和亞洲的132家一級、二級和其他IP網絡運營商的調查顯示：互聯網服務運營商遇到的DDoS攻擊達到49 Gbps，相對于2008年只增長了32%，與2007年相比增長了100%，是2001年的100倍。DDoS攻擊正在轉移至云計算，攻擊規模仍在擴大，但增速減緩，互聯網架構和運營面臨困境。

由于網絡設備以及傳統的邊緣安全技術，例如，防火墻、入侵檢測系統由于自身不能提供足夠的DDoS保護。面對這些不可避免且日益增長的網絡威脅，網絡運營商在尋找通過最優現行方法（BCP）保護網絡不受攻擊的方法。BCP包括網絡架構最優方法、主機最優方法和部署DDoS專用的異常檢測和抵御方案，例如思科Clean Pipes清洗中心解決方案。

與傳統的DDoS防御技術相比，Clean Pipes解決方案能夠準確識別出流向關鍵任務主機及應用程序的合法流量和惡意流量。準確阻擋惡意流量，同時讓合法流量通過，保證商業、服務運作正常。

隨著DDoS攻擊的不斷演變，思科Clean Pipes解決方案也在同步迅速發展。從思科Anomaly Guard Appliance開始的1Gbps抵御容量，到之后的Anomaly Guard Module（AGM）可以達到每個模塊3Gbp抵御容量，而多個AGM 模塊更是可以提供10+ Gbps的防御保護。

鑒于云計算網絡環境的復雜性與攻擊變化的多樣性，思科決定停止對Guard模塊繼續研發，轉而與長期合作的互聯網頂級流量分析者Arbor公司進行合作，通過集成路由與安全技術實現異常流量（主要是DDoS）“云”清洗系統，將Clean Pipes解決方案升級到了2.0版本。在Clean Pipes 2.0中，Arbor Peakflow SP 威脅管理系統（TMS）將成為Guard的升級方案。

“云”清洗防御DDoS

信息安全知名博客 賽道（www.sectao.net）指出：回顧Anti-DDoS解決方案的發展過程可以發現，在2000年時互聯網剛剛興起，用戶通常采用DDoS防火墻即可有效抵御攻擊。而在2005年，隨著Web 2.0的蓬勃發展，托管服務安全供應商（MSSP）成為了那一時代的最佳解決方案。如今進入了云計算時代，通過SaaS（安全既服務）的方式實現“云”清洗將成為最有效的解決方案。

Arbor和思科的合作從2000年就開始了，早在Clean Pipes 1.0 和 1.5.中，Arbor Peakflow SP產品用于攻擊檢測。在Clean Pipes 2.0中，Arbor Peakflow SP 將被用于異常流量檢測，而TMS則用于對DDoS攻擊流量的手術式清洗，兩者結合系統性的實現“云”清洗。

簡而言之，在Clean Pipes 2.0中，Arbor Peakflow SP是一個流量采集器。通過多個采集器的流量對比，識別DDoS攻擊，同時確定攻擊特性。從技術角度來看，Arbor Peakflow SP是一種基于Netflow的異常流量檢測設備。它從網絡中的路由交換設備中獲取Netflow信息，不斷地基于Netflow統計表建立合法流量基線模板。通過流量與基線模板相比較，任何偏差都會被作為異常情況被識別和警報，從而進一步采取防御措施，包括通知網絡管理人員，或啟動攻擊抵御設備的DDoS保護功能。

當網絡在正常情況下運行時，Netflow會產生大量的網絡流量數據分析圖，并建立基線模型，用于流量異常檢測。當遭受到DDoS攻擊時，Netflow信息統計表將會顯示出與基線模型的偏差，這就是受到攻擊的第一個信號。通過更多詳細的流量信息，可以進一步分析流量模式和行為。一旦異常流量被識別，Anti-DDoS“云”清洗系統可以通過自動或手動的方式啟動DDoS防御策略。

當Netflow應用于Anti-DDoS“云”清洗系統時，NetFlow常常被部署在SP或者企業網絡的邊緣，監控邊緣以及對等接口的帶內流量，因為對于大部分攻擊，這些是典型的入口點。路由器會保留在線NetFlow緩存區跟蹤當下流量。IP流量信息從NetFlow緩沖區中輸出，然后進入外部采集器做進一步分析。

圖：DDoS防御已經進入到第三階段—“云”清洗  

Frost & Sullivan專業評論發文DDoS清洗救援行動 “DDoS Mitigation to the Rescue” ，文中指出：鑒于Arbor獨有的運營商級部署與ATLAS威脅可見性的經驗數據積累，思科決定公開推薦Arbor作為Guard清洗中心客戶的升級解決方案。

第三代基于"云"計算的清洗中心主要四大特點：

一：智能檢測分析系統與清洗中心一體化，基于運營商級的全網監控系統統一控制流量的流向并決定清洗行動。提高了預見性與準確性。

二："云"清洗系統針對應用層的攻擊防護具有特別設計包括（DNS， HTTP， SIP 等），并率先支持下一代IPv6的網絡環境。

三："云"清洗系統具有異常流量的溯源能力并結合ATLAS威脅數據庫與指紋機制實時防范最新攻擊，包括零日Zero-day攻擊；

四："云"清洗系統針對被保護對象的自服務門戶功能為運營商大范圍提供異常流量清洗服務提供了基礎，改善了購買DDoS服務的用戶體驗。