在工作中筆者經(jīng)常聽(tīng)到一些抱怨，說(shuō)自己的網(wǎng)站又被DDoS攻擊了。作為從業(yè)者，聽(tīng)到這樣的消息實(shí)感無(wú)奈。多年前就已經(jīng)有人已經(jīng)提出了網(wǎng)絡(luò )實(shí)名與攻擊溯源，可現在這么多年過(guò)去了，DDoS依然攻擊依舊。下面就先從DDoS防治這個(gè)話(huà)題來(lái)談起。

DDoS：本不該再出現的異常流量

為什么說(shuō)DDoS是本不該再出現的異常流量，是因為如果把木馬、蠕蟲(chóng)比喻成電影《天下無(wú)賊》里的小偷的話(huà)，那么DDoS就能算是個(gè)明火執仗的土匪，借用黎叔的話(huà)講，就是一點(diǎn)技術(shù)含量也沒(méi)有?，F如今社會(huì )法制相對比較完善，人人都有身份證，出門(mén)都是攝像頭，就算真的有人出來(lái)打、砸、搶?zhuān)烙嬇懿惶h就會(huì )被抓。那么DDoS這種嚴重影響網(wǎng)絡(luò )正常應用的“土匪”行徑，為什么可以猖獗至今呢?

是技術(shù)不足嗎?看上去不像，早在2014年國家網(wǎng)絡(luò )安全周上，一大堆安全廠(chǎng)商就競相在碩大的屏幕上進(jìn)行網(wǎng)絡(luò )攻擊溯源的展示，很是吸引眼球。是管理方面的問(wèn)題嗎?《網(wǎng)絡(luò )安全法》在2016年也已經(jīng)發(fā)布。技術(shù)和管理都已經(jīng)到位的情況下，依然會(huì )出現問(wèn)題，那就只有能力不足這一種可能性了。下面就讓我們步入正題，從網(wǎng)絡(luò )安全與網(wǎng)絡(luò )管理的角度來(lái)進(jìn)行一下分析。

網(wǎng)絡(luò )管理與網(wǎng)絡(luò )安全的異同

在網(wǎng)絡(luò )管理和網(wǎng)絡(luò )安全的初始階段，交換機是交換機，防火墻是防火墻，兩者基本上沒(méi)有什么交集之處。但是隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展，交換機上開(kāi)始跑起了三層路由，防火墻開(kāi)始變成網(wǎng)關(guān)的路由器，兩者開(kāi)始互搶對方的飯碗，隨后交換機上開(kāi)始可以設策略封端口，算是徹底搶了防火墻的飯碗，而防火墻則向著(zhù)更高的層次發(fā)展，搖身一變成了下一代防火墻……

由此可見(jiàn)，隨著(zhù)網(wǎng)絡(luò )設備管理能力的提升，正在將更多的網(wǎng)絡(luò )安全功能融入其中。但是網(wǎng)絡(luò )與網(wǎng)絡(luò )安全之間，目前為止還依然存在著(zhù)一條難以跨越的鴻溝，那就是網(wǎng)絡(luò )管理始終管理的是連接，關(guān)心的是網(wǎng)絡(luò )連接從哪里開(kāi)始，經(jīng)過(guò)多少路由，轉發(fā)的延時(shí)是多少。而網(wǎng)絡(luò )安全則注重傳輸內容，判斷是否為攻擊流量、攻擊類(lèi)型以及如何進(jìn)行處理。也就是說(shuō)，網(wǎng)絡(luò )管理更偏向于全局管理，而網(wǎng)絡(luò )安全更傾向內容分析。

而在實(shí)際應用過(guò)程中，這些不同的傾向性往往會(huì )產(chǎn)生致命的結果。正所謂道高一尺，魔高一丈。以前靠發(fā)syn包，做個(gè)長(cháng)ping的簡(jiǎn)單DDoS攻擊，早被模擬或就是真實(shí)應用連接請求所取代。這些攻擊流量往往和真實(shí)流量混雜，通常的網(wǎng)絡(luò )安全手段很難將其分辨。更何況還有利用0Day傳播的網(wǎng)絡(luò )蠕蟲(chóng)、惡意網(wǎng)頁(yè)、木馬程序等等。這也是DDoS至今猖獗始終難以消滅的一個(gè)重要原因。

要想從根本上解決這個(gè)問(wèn)題，就需要站在全局的角度去考慮問(wèn)題。既要對攻擊內容進(jìn)行準確識別，又要找到攻擊源頭有針對性地進(jìn)行防御，再有確實(shí)可信的取證，這樣才能結合國家相關(guān)的法律、法規，對相應的違法行為進(jìn)行處罰，從而在根源上解決問(wèn)題。而這需要網(wǎng)絡(luò )管理與網(wǎng)絡(luò )安全的統一融合。

但是。這種融合并不是一件十分輕松就可以完成的事情。先不去討論對所有網(wǎng)絡(luò )傳輸內容進(jìn)行檢測的合法性問(wèn)題，僅從實(shí)現技術(shù)的角度看，就有很大的難題需要進(jìn)行克服：傳統的網(wǎng)絡(luò )管理控制器處理能力有限，很難滿(mǎn)足對每條流的連接況狀進(jìn)行分析。要想解決的話(huà)，目前看來(lái)只能通過(guò)軟件定義方法。

如何挖掘SDN控制器的潛能

當前，隨著(zhù)網(wǎng)絡(luò )接入設備數量和網(wǎng)絡(luò )流量的飛速增長(cháng)，通過(guò)軟件定義管理控制網(wǎng)絡(luò )的SDN、SD-WAN技術(shù)相繼出現了。在SDN技術(shù)出現的初期，人們，就已經(jīng)認識到了基于傳輸層的網(wǎng)絡(luò )連接而不是僅基于網(wǎng)絡(luò )層的IP對網(wǎng)絡(luò )進(jìn)行管理控制的重要意義。因此，先天就具備了部分網(wǎng)絡(luò )安全管理控制能力。這也為網(wǎng)絡(luò )管理與網(wǎng)絡(luò )安全的融合提供了難得的一個(gè)契機。但是，SDN畢竟是為網(wǎng)絡(luò )管理而設計的技術(shù)，用在網(wǎng)絡(luò )安全上還是會(huì )有些力不從心。那么應當如何挖掘SDN的潛力，讓網(wǎng)絡(luò )管理與安全趨于一統呢?

SDN可否用于網(wǎng)絡(luò )安全管理，答案無(wú)疑是肯定的?，F在已經(jīng)有很多安全廠(chǎng)商在推出基于SDN技術(shù)的網(wǎng)絡(luò )安全管理方案，但大多數只是將SDN作為一個(gè)大的網(wǎng)關(guān)設備，而不是基于網(wǎng)絡(luò )整體來(lái)對網(wǎng)絡(luò )威脅進(jìn)行分析。實(shí)際上，通過(guò)連接進(jìn)行管理的SDN，可以讓管理者們看到的東西會(huì )更多，內容也會(huì )更加豐富，通過(guò)對可疑流量的鏡像分析，還可以深入了解網(wǎng)絡(luò )威脅的具體應用行為。

現在的問(wèn)題在于，如何通過(guò)SDN對正常流量與異常攻擊加以識別，而不是單純的在網(wǎng)關(guān)處對攻擊流量進(jìn)行簡(jiǎn)單的攔截，從而在整網(wǎng)泛圍內對攻擊的動(dòng)向進(jìn)行全面掌控。這種撐控也會(huì )比通過(guò)sniffer嗅探的方式更加真實(shí)可信，從而可以更精準地對攻擊源頭進(jìn)行定位。這就好像在網(wǎng)絡(luò )上也安裝上了一個(gè)個(gè)高清攝像頭，對于正常用戶(hù)而言，不會(huì )存在任何影響，而對破壞份子而言，一做壞事甚至一露面就可以被識別。做壞事的人被抓住了，造成的損失自然也會(huì )可控了。

但目前這還只是一個(gè)理論上的推斷，要想真正實(shí)施，恐怕還需要制訂出一個(gè)統一的基于軟件控制的網(wǎng)絡(luò )與網(wǎng)絡(luò )安全管理標準才能進(jìn)行實(shí)現。但是從技術(shù)的角度上看，網(wǎng)絡(luò )安全與管理的統一融合還是具備相當大的可行性。

網(wǎng)絡(luò )管理與安全是否該進(jìn)行統一?

當前，移動(dòng)互聯(lián)技術(shù)的飛速發(fā)展，導致網(wǎng)絡(luò )應用數量激增，也由此引發(fā)出更加廣泛的網(wǎng)絡(luò )安全問(wèn)題。傳統DDoS攻擊沒(méi)有被遏制，勒索病毒、惡意刷單等新的網(wǎng)絡(luò )威脅形式又不斷出現，給人們正常網(wǎng)絡(luò )應用造成極大困擾。這些網(wǎng)絡(luò )威脅有些是屬于網(wǎng)絡(luò )安全范圍的惡意攻擊，有些是屬于網(wǎng)絡(luò )管理范疇的應用流量，二者往往會(huì )相互裹挾，難以統一進(jìn)行防御，對網(wǎng)絡(luò )正常應用造成極大威脅。

新的網(wǎng)絡(luò )威脅也會(huì )催生出新的網(wǎng)絡(luò )安全解決方案，而從網(wǎng)絡(luò )整體的角度出發(fā)，將網(wǎng)絡(luò )管理與網(wǎng)絡(luò )安全融合成為一體，會(huì )更加有助于從威脅源頭解決問(wèn)題。但是統一并不意味著(zhù)不再需要網(wǎng)絡(luò )安全，而是正好相反，未來(lái)網(wǎng)絡(luò )安全會(huì )發(fā)揮出更加重要的作用。未來(lái)DDoS之類(lèi)的惡意攻擊可能會(huì )因為統一監管而減少，但是漏洞、蠕蟲(chóng)、拖庫等網(wǎng)絡(luò )威脅依然還會(huì )產(chǎn)生。這些高技術(shù)的網(wǎng)絡(luò )威脅問(wèn)題，還是需要有更高本領(lǐng)的網(wǎng)絡(luò )安全人士進(jìn)行解決，也許未來(lái)基于大數據分析的人工智能技術(shù)繼續發(fā)展后，可以將這些應用類(lèi)的網(wǎng)絡(luò )威脅也統一由網(wǎng)絡(luò )管理設備進(jìn)行統一處理。但是現在，還是讓那些各大網(wǎng)絡(luò )安全廠(chǎng)商的那些已經(jīng)樹(shù)立多年的網(wǎng)絡(luò )安全溯源大屏發(fā)揮他們的真正作用吧!