对话首席安全官 研究者从DDoS中学到了什么？

　　由于僵尸网络的增殖而使攻击者的能力变得更加强大，这个我们已经在本系列的第一篇文章(《僵尸凶狠!DDoS攻击强势归来》)中提到过了，这种趋势也正在僵尸网络构建者中扩大。

　　在本文中，两名IT安全从业人员——一位有处理DDoS对政府系统攻击经验，另一位则是来自企业的专家——分享他们所知的关于DDoS如何确定攻击目标以及应如何采取安全应对策略的经验。

　　CSO在线问答， 参与者 ：Jerry Mangiarelli(加拿大TD银行安全专家)，以及来自以色列的研究人员 Gadi Evron.

　　对攻击者动机和策略深有研究的社区安全专家Jerry Mangiarelli通过自己多年来对僵尸网络的独立研究，而形成了自己对DDoS威胁的一套独立看法。在类似的安全讨论中，他经常在这一话题(攻击者的动机和策略)上以EC-Council、SecTor 以及 FSP的身份回答各种问题。这里，他举了研究中的例子，来阐述黑客攻击的手段和动机。

　　CSO: 是什么让你的研究重点发生了巨大转变，从而进入与僵尸网络相关的DDoS攻击领域呢?

　　Mangiarelli:这次转变主要是由于我在恶意软件和应用程序方面继续研究(以及个人兴趣)的结果。多年来我们一直关注着对手们的动机，动机主要是因为应用层上的僵尸网络能够给他们带来巨大回报(ROI)。

　　问:根据花费的时间和使用的工具来讲， 你在研究中做了哪些工作。

　　Mangiarelli:我花费了很长的时间来进行研究。我喜欢将孩子睡觉后我仍在工作的时间为夜班。我花费了很多时间来评估(基于WEB的DDoS工具箱开发领域的)对手们使用的工具。

　　到目前为止基于你的研究成果，DDoS攻击的火力在哪方面最令你震惊?

　　Mangiarelli:最令我震惊的是，太多的用户对他们使用WEB服务器的权限漠不关心。发生在2009年初的FTP攻击以及(从2008年开始一直持续到2009年的)海量SQL注入攻击显示了DDoS攻击队伍的扩大。

　　问：你认为这些攻击主要是针对企业呢还是出于政治目的?

　　Mangiarelli: 我早先已经提到过，对手们的动机已经发生了变化。每一台僵尸机器会根据僵尸网络管理者以及他们顾客的需求添加到不同的模块中。我们将在这两个领域(企业和政府)关于进行更加深入、长期的研究。这项工作会一直持续下去。

　　为了对黑客的政治性攻击行为进行深入研究，以色列安全研究人员Gadi Evron 在检测针对政府网络的DDoS攻击上花费了大量的时间。他的研究案例包括前几年针对爱沙尼亚共和国的海量攻击。当时，Gadi Evron认为此次攻击的幕后黑手应该是一群所谓的黑客分子，而非哪些工作在敌对政府(比如说，俄罗斯)的工作人员。在这里，他将解释一下企业级的安全专家可以从针对公共部门的攻击中学到些什么。

　　CSO:除了你从爱沙尼亚事件(或与此类似的其他事件)中学到的一些东西之外，IT安全从业人员们还有其他更好的方法来了解攻击者的攻击手段么?

　　Gadi Evron:DDoS攻击并不是最好的攻击方式。它们(DDoS攻击)要么是有预谋(对基础设施和联络点)的，要么是有意转移人们视线的攻击。

　　问：请讲一下企业该如何做?

　　Evron:企业最应该做的便是了解他们的流量负载，并确保他们可以承担一个(比原有负载)更加夸张的负载。没有人可以承受高于他们正常流量1000倍的负载，但至少他们应该建立一个他们可以承受的波动区间。建立一些可以承受洪水攻击的网络以及与此相关的网络应用程序，至少不要在这上面发生问题，是至关重要的。基于此点，最好的做法应该是有超过一个的上限连接值，并且(为了缓解洪水攻击的压力)和ISP供应商们保持良好关系。

　　问：以你的经验来看，目前最常使用的DDoS攻击技术是什么?我们曾经和有些人谈论，他们遇到过更加强大、攻击范围更过的僵尸网络，比如说。

　　Evron:我不能谈论太多有关攻击者们使用的特殊攻击手段，我觉得他们的攻击手段呈现了多样发展的趋势。他们的攻击底线：他们可以使用任何手段，基于此，他们要么使CPU、内存过载，或是使负载检测应用程序过载，或是使网络流量过载。

　　问：爱沙尼亚对发生在他们身上的攻击事件的反应相当强烈。你能讲述一下国家对于他们受到的攻击所采取的一些回应措施吗?

　　Evron:对事故的反应和国际影响，这两者是完全不同的。就事件反应来说，合作或是协调才是解决之道;就国际影响来说，没有其他国家的帮助的话，该事件能够引起较好的反应是不可能的，即使该事故很明显。