通信世界网讯(CWW) 2013年4月11日消息，人民邮电出版社和中国通信学会普及与教育委员今日举办“第五届通信网络和信息安全高层论坛”，在工业和信息化部通信保障局、互联网安全中心、中国电信、中国移动、中国联通等电信企业和腾讯等增值电信企业的指导和支持下，邀请政府主管领导、运营商领导、增值电信企业领导、安全企业专家领导等各方面权威人士，进行深入研讨和交流。来自于绿盟科技的李从宇经理，在数据中心防御DDoS和Web攻击的一种新架构方面，为大家带来精彩演讲。

绿盟科技产品经理 李从宇

李从宇：各位领导、各位专家大家上午好！我发言的题目是数据中心防御DDoS和Web攻击的一种新架构。谈防御首先谈一下攻击，绿盟科技有一个理念，知道怎么防御首先要知道怎么攻击，今天还是回到攻击的源头看一下。

我们讨论的是这样一种攻击场景，左边攻击者控制僵尸网络傀儡机，我们通过一个攻击案例看一下：这次攻击事件原点是去年7月份，当时美国人拍摄了一部伊斯兰教的预告片，引发了伊斯兰世界强烈抗议去年9月18日一个组织在网上发表抗议，并且发动了大规模的网络攻击，攻击包括两个阶段，第一个阶段持续了5个星期，第二个阶段7个星期。今年1月29号攻击暂停，然后继续开始，攻击使包括美国银行、汇丰等在线业务受到严重冲击。

攻击傀儡机不是普通的PC，是具有高带宽资源的Web流量器，傀儡机非常多，手段多。不仅包括网络层，多种DDoS攻击，而且持续时间长。攻击面广，不及攻击了几十家金融机构的在线业务，而且对于承载这些业务网络服务商也产生了攻击。

我们看一下从实际操作过程中攻击是怎样发生的？这一轮攻击主要包括三个步骤，第一个步骤是入侵Web服务器，在控制Web服务器之后攻击者对攻击进行组织，采用多层次的模式，把移动Web作为傀儡机，使用多层的攻击模式，然后发起DDoS攻击。

其中中间的CFC控制傀儡机，前面是攻击傀儡机，还有被攻击的对象，这次攻击最大的特点是傀儡机多为Web服务器，所以威力比较大。目前已知这次入侵Web服务器手段一个是利用弱管理员口令，包括软件漏洞。攻击工具包括网络层多种DDoS攻击方法，包括应用层多种DDoS攻击方法。攻击整个过程中攻击者不断的变换方式，也给防御造成了极大的困难。

这次攻击最终的触发是是利用Linux系统上的一个程序激发的一个请求，通缉被攻击的站点。实际攻击中DDoS和Web攻击这两种攻击在真实的网络中是相伴而生的。从宏观视野上看一下这两种非常突出的攻击发展趋势：内容来自2012绿盟科技攻击报告，是绿盟科技在网抗DDoS设备和防护，通过代为服务收集的数据。HTPFLAAD最多，占4成，混合攻击最多。9成功记持续30分钟以内，我们观测到最长时间攻击超过96个小时。49.3%被攻击对象被攻击不只一次，攻击主要是浙江、江苏等。

Web应用是当前互联网上攻击的焦点，因为入侵Web应用可以衍生出很多攻击方法。绿盟科技威胁响应中心对360次威胁响应测试进行分析得出一些结论，平均来看每个页面出现Web漏洞概率46.9%，最多的漏洞是安全配置错误，注入类的漏洞不再是最主要的了，这也跟近两年来业界对这方面的重视有很大的关系。