原文链接：http://ddosprotectionblog.corero.com/blog/641-can-we-squelch-ddos-attacks-closer-to-the-source.html
时间：2015-04-02
作者：Dave Larson
翻译：housejar


      一份由Neustar在本周早些时候发布的关于DDoS的报告，报告中包含Neustar的高级副总裁、研究员，Rodney Joffe的发言。此份报告引起了我的注意，Rodney提出了一个关于“构建具有行业的缓冲技术，该技术会将攻击源信息分发到IPS上，所以他们可以从离源头更近的地方缩减DDoS攻击。”此建议在业内引起了一些思考，DDoS防御行业将如何通过与安全技术厂商的合作中受益？

      确实，该行业将会得益于安全厂商见的强有力的合作，以应对急速发展中的危险的DDoS威胁。但是这个问题可以通过一个更加广泛的角度去解决——同运营商角度(运营商、服务提供商、云主机,等等),以及应用程序开发人员合作。在DDoS的世界里，我们几乎不可能直接从源头处减少攻击的发生。这是因为对于整个DDoS而言，它的重要部分（甚至是主要部分）都是反射式或者是放大式的DDoS，这是通过欺骗合法的服务器和服务导致这些服务或服务器一起向受害者发送响应。如果将这些服务实体添加到黑名单的话会造成很多问题，如果是DNS服务器的话，后果不堪设想。但是基本前提是，行业内应当结合力量对抗该问题是合理的。事实上，这样合作的雏形已经通过标准化和signaling展开了。这种概念已经可以到IETF上查看了。在IETF的上周会议中，其中一个类似的出席率高的讨论会，其主题为“DDoS Open Threat Signaling”，这是一个很好的信号，说明行业也正在往这个方向走。

     有的人可能会问，为什么ISP还不提出方案去解决“从离源头更近的地方减少DDoS攻击”呢？首先，反射式或者放大式的DDoS攻击的“攻击”设备可能分布于不同的地理区域，也可能是全球范围，因此，如果能将解决方案分配到离攻击源近的地方则是很有优势的，因为他能在攻击变为真正大规模攻击前定位到问题。此种方案的难点在于难以将方案部署到不同的地理区域和超越ISP的控制体系-因此需要开放DDoS威胁信号。此外，这些机器也可能是攻击数据流的源头，但他们不能与攻击者混淆,他伪造IP地址为了影响攻击。此种情况下，攻击者是无法被追踪的，并且“攻击”设备也可能是网络的重要组件-例如他是DNS服务器或者是调制解调器，而这些也正逐渐成为SSDP反射式攻击的利用目标。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

• QQ截图20150408202530.jpg （266.89kb，1次下载）