僵尸網絡主導的DDOS攻擊在全球大有愈演愈烈之勢，在國內也不例外。Arbor Networks針對DDOS攻擊出現的一些新趨勢，提出了深度包檢測、可視化流量分析等復合型電信級清洗策略。

近年來，僵尸網絡已經變得越來越龐大和復雜，不斷滋生垃圾郵件、網絡釣魚和身份盜用等網絡犯罪。電信運營商的利益也在受到僵尸網絡的侵害，由僵尸網絡發起的DDOS攻擊持續威脅著電信級網絡的性能與安全，給運營商帶來直接或間接的經濟損失。

DDOS攻擊加劇

DDOS攻擊被設計用來淹沒目標網絡，從而使得受害企業無法處理合法的請求;在DDOS的多種表現形式中，運營商最多看到的癥狀是流量擁塞和帶寬消耗，而不是應用資源出現問題。在過去的幾年時間里，運營商普遍完成了骨干基礎網絡的新一輪投資和升級，10Gbps成為了各運營商網絡傳輸能力的普遍水平，而40G技術也正在逐步商業化。在這個過程中，DDOS給業界帶來的困擾也在增加。

Arbor Networks聯合創始人及CTO羅馬倫博士指出，自2000年以來，針對電信運營商的DDOS趨于復雜，中級“業余”攻擊和多達數十Gbps的“專業”攻擊之間的分化越來越明顯，“專業”攻擊的危害也變得越來越大;在2008年已知的DDOS攻擊中，最大規模達到42Gbps，儼然跟隨并超越基礎網絡傳輸能力的增長幅度。

僵尸網絡對我國網絡安全的影響正在日益擴大。記者從國家計算機網絡應急技術處理協調中心了解到，2008年7月至8月CNCERT/CC對僵尸網絡活動狀況的抽樣監測結果顯示，國內外累計2797個IP地址(中國大陸有533個)對應的主機被作為僵尸網絡控制服務器，這些IP在中國均有訪問和活動;累計302519個位于中國大陸地區的IP被僵尸服務器所控制;中國大陸地區有170748個IP地址對應的主機被境外控制者植入木馬，秘密控制我國大陸計算機的IP絕大多數來自我國臺灣和美國。

僵尸網絡威脅3G互聯網

僵尸網絡除了滋生DDOS攻擊，也是當前蠕蟲、惡意代碼等應用層攻擊的罪魁禍首;而DDOS攻擊與應用層攻擊、惡意代碼等正呈現出結合的趨勢。羅馬倫指出，DDOS攻擊正在逐漸分化為兩種模式，一種是大于10Gbps流量的暴力式帶寬侵占，表現為非面向連接的洪水流量大肆堵塞網絡通路;另一種攻擊可能對帶寬的侵占并不高，但卻是一種基于HTTP和SIP協議或者用戶DNS的應用級流量攻擊，它所帶來的危害性會更大。記者了解到，目前中國移動只部署有過濾垃圾短信這種傳統無線業務的網關設備，尚未對移動互聯網的到來做好骨干流量和城域網流量管控、清洗方面的準備。3G在中國商用和無線互聯網的搭建將進一步加劇DDOS帶來的風險。由于國內移動運營商如中國移動在2G時代不用面對DDOS攻擊的問題，因此其在DDOS防范和流量清洗方面的經驗幾乎為零。而當3G商用，智能化終端和寬帶化3G網絡會與互聯網接軌，而無線互聯網內部也將互聯網化，傳統互聯網面對的諸多安全問題，如DDOS攻擊、蠕蟲等，也將陸續出現在無線互聯網的城域網中。這將會使缺乏固網DDOS防范經驗的中國移動面臨巨大挑戰。

多手段組合的手術式清洗

采用多手段組合的流量清洗策略，是電信運營商應付DDOS攻擊的現實策略。羅馬倫認為，如果DDOS攻擊來源的IP地址可以確定，攻擊就應該被阻斷在源頭上;但更多的情況是電信運營商無法鎖定攻擊的源頭，這種情況下可以應用路由策略來減少攻擊的通路，通過執行單播反向路徑轉發的路由器策略來實現。此外，根據DDOS攻擊類型的不同，采用同步代理等防御技術也可以發揮重要作用;而對于不同級別的DDOS攻擊，其流量也可以通過DPI設備進行過濾，整型限速到運營商可以接受的流量水平。

Arbor Networks正在嘗試將這些先進的流量清洗策略整合到一套單獨的、易于管理的系統中去。Arbor PeakflowSP和PeakflowSP威脅管理系統(TMS)是Arbor Networks的旗艦產品。通過使用ArborPeakflowSP和PeakflowSP威脅管理系統(TMS)組合，電信運營商可以檢測出攻擊流量并對其實施精確的手術式清洗，從而保證合法的業務流量不受影響。在阻斷攻擊流量之后，網絡運維人員可以便捷地為客戶和部門管理層生成清洗過程詳細報告。

記者了解到，目前，中國電信已經部署了3套PeakflowSP系統，共19臺設備，而原中國網通也已部署1套系統，共10臺設備。以中國電信為例，在中國電信看來，網絡的安全與操作性能是中國電信開展所有工作的基礎，中國電信之所以選擇Arbor Networks是因為其已證實的提供融合了流量工程和容量規劃的網絡可視性化和安全性的能力，這使中國電信能夠預先規劃網絡發展，評估互聯網對等關系并降低傳輸成本