摘要：僵尸网络是一种由引擎驱动的恶意因特网行为：DDOS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。

第1页:僵尸网络已成为政治武器 第2页:僵尸网络已成为政治武器

　　DDOS攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。DDOS攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为DDOS攻击提供了所需的"火力"-带宽和计算机-以及管理攻击所需的基础架构。
　　
　　DDOS规模、程度和复杂性都有新发展：2003年，由Arbor Networks客户发现的规模最大的持续DDOS攻击为2.5Gbps。到了2007年，最大的持续攻击之规模已经超过40Gbps。让服务商感到更为棘手的是现在出现了一个新的情况，那就是常见的中等规模的"业余"攻击和使用成千万僵尸主机(zombie)进行的多GB"专业"攻击之间的差别正在逐步扩大。
　　
　　Arbor Networks研究能力：Arbor Networks在服务商的安全领域内发挥着主导作用，全球90%的一级服务商和60%的二级服务商都是它的客户。Arbor充分利用这些关系，创建了可以同时进行数据收集和分析的平台，并提供了在全球服务商之间共享这些信息的方法。Arbor与其全球服务商客户群合作，从100多家服务商那里实时收集因特网攻击数据，并与另外30多家服务商实时共享全球路由信息。此外，Arbor还创建了世界上最大的分布式"暗网"监测系统，可以对全球可路由的IP地址进行监控。这些可路由的IP地址上不应该有任何活动的主机。Arbor Peakflow和暗网检测系统联合收集的数据表明，只有Arbor才能"真正地"对构成互联网核心部分的骨干网内所传输的恶意数据获得全面的了解。由于这样独特的优势，Arbor在发布有关恶意软件、后门、网上钓鱼和僵尸网络信息方面比起当今任何其他机构都更加领先。
　　
　　威胁减除策略：为了减少大规模DDOS攻击带来的附带损害，服务商常常会阻断前往受攻站点的所有流量，以籍此阻断DDOS攻击。使用集成的威胁管理系统(TMS)设备，Arbor Networks客户可以仅阻断攻击流量，从而保持可用的服务和较高的客户满意度。Peakflow SPTMS使服务商能够在不中断合法流量的情况下识别和阻断网络和应用层攻击。Peakflow SPTMS能够提供具有高成本效益的网络和应用层威胁检测、减除和报告功能，从而使服务商可以维护关键IP业务。最后，请求其他服务商帮助过滤流量也是非常必要的，因为当攻击规模达到每秒数十GB时，任何服务商都无法在处理这种攻击流量的同时还能维持正常的流量。这正是Arbor Networks能够在保护服务商的网络中发挥重要作用的地方。
　　
　　网络战正走向错误的方向：最近几年，具有政治动机的网络攻击制造了不少新闻并成为人们关注的焦点。从2007年对爱沙尼亚的攻击到最近由于俄罗斯采取军事行动而引发的对格鲁吉亚基础设施和网络的攻击，都表明了这一点。Arbor Networks研究发现，此类具有政治动机的攻击都不是国家支持的行为。Arbor Networks认为，这些攻击是21世纪街头示威的一种形式，是那些对某项事业产生同情的人制造的网络中断，并非行政行为。
　　
　　概述
　　
　　DDOS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。DDOS攻击有多种形式，能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。DDOS攻击并不是什么新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为DDOS攻击提供了所需的"火力"-带宽和计算机-以及管理攻击所需的基础架构。大部分机器代码库都可以提供某种形式的DDOS能力。2006年，我们检测发现，在我们所监控的僵尸网络中，大约一半网络都曾经发起过至少一次DDOS攻击。
　　
　　其中一部分DDOS攻击似乎具有政治动机，被攻击者都是被认为对攻击者一方的某些人犯下了错误的对象。去年，爱沙尼亚政府和国家基础设施就受到了长达几个星期的DDOS攻击。这些攻击正好发生在爱沙尼亚发生反对俄罗斯的街头示威期间。同样的情况也发生在最近俄罗斯和格鲁吉亚发生的网络战中。在这些案例中，我们发现，大部分的DDOS攻击背后都有僵尸网络的支持和人工在协调，某些组织的俄语论坛就对这些攻击进行了支持。但是，我们从未发现有任何证据证明所谓俄罗斯政府部门对这些攻击进行支持的说法。
　　
　　我们最近看到的其他具有政治动机的DDOS攻击包括在2008年冬季选举前奏中针对俄罗斯政治家Gary Kasparov及其政党的攻击。在这起攻击事件中，网站被迫短暂关闭，使其用户无法使用。然而，这样做好像并不能对政党本身产生任何损害，也就是说，这些攻击更像是暴乱和示威，而不是抢劫和掠夺。
　　
　　政治性的DDOS事件不只是针对俄罗斯和欧洲的网络。我们监控的大部分攻击来自美国，而且大部分攻击对象也是美国。从美国具有大量的地址空间来看，这也是合理的。过去，我们发现过与印度和巴基斯坦冲突有关的DDOS攻击，而最近,我们也发现过针对伊朗某些目标的DDOS攻击。
　　
　　事实上，我们认为最近的政治性DDOS攻击是21世纪街头示威的一种形式，是那些对某项事业产生同情的人制造的网络中断，并非行政行为。
　　
　　僵尸网络和DDOS攻击的这些新情况对网络服务商会产生各种实质性的后果。
　　
　　Arbor Networks是如何获取数据的
　　
　　我们使用两种方法来监控DDOS攻击。第一种方法是利用我们的ATLAS(Arbor威胁级别分析系统)系统，该系统可以检测骨干网流量，将全球DDOS统计数据聚合在一起。
　　
　　ATLAS的创新之处在于，它能够使用一个可以提供分析和行动信息的平台将全球因特网攻击信息汇聚起来。然后，ATLAS再使全球各服务商共享这些信息。只有借助于这种全面的透视能力、信息和协作，服务商才能打击僵尸网络、DDOS攻击和其他恶意因特网行为带来的灾难。
　　
　　Arbor Networks在服务商的安全领域内发挥着主导作用，全球90%的一级服务商和60%的二级服务商都是它的客户。Arbor充分利用这些关系，创建了可以同时进行数据收集和分析的平台，并提供了在全球服务商之间共享这些信息的方法。
　　
　　Arbor与其全球服务商客户群进行合作，从100多家服务商那里实时收集因特网攻击数据，并与另外30多家服务商实时共享全球路由信息。此外，Arbor还创建了世界上最大的分布式"暗网"监测系统，可以对全球可路由的IP地址进行监控。这些可路由的IP地址上不应该有任何活动的主机。
　　
　　Arbor Peakflow和暗网检测系统联合收集的数据表明，只有Arbor才能"真正地"对构成互联网核心部分的骨干网内所传输的恶意数据获得全面的了解。由于这样独特的优势，Arbor在发布有关恶意软件、后门、网上钓鱼和僵尸网络信息方面比起当今任何其他机构都更加领先。
　　
　　我们收集数据的第二种方法是通过对僵尸网络进行主动监控、对发送到僵尸程序的命令进行监测，并从中提取攻击信息。虽然这两种方法都不完整，但都是广泛了解DDOS行为不可或缺的手段。从监测中我们还发现，这两种方法可以阻断某些攻击的连接，也就是说我们将永远无法跟踪观察因特网上的所有DDOS攻击命令。
　　
　　对DDOS攻击意图的估计通常是推测性的，而且往往是根据受攻击对象的外部资料来进行。DDOS攻击的动机往往是对受攻击者的某些行为的报复或愤怒，有时还包括勒索或惩罚性攻击。过去几年，我们对全球成千上万种此类攻击进行了跟踪，发现任何网络都无法免受来自"业务端"的这种攻击。垃圾信息发送者或在线网络钓鱼团队可能会对研究人员发起攻击，以阻止他们的工作。但是我们更常见的是针对宽带用户或小型电子商务网站发起的各种小规模攻击。更大规模和更复杂的攻击往往会涉及到对主要在线商业机构的某种勒索。某些攻击已导致商业机构破产，因为后者无法处理其客户需求或支付带宽费用。当然，最近我们还看到，具有政治动机的攻击有很大增加。