美國東部生在美國東部DDoS10月21日上午，臺灣時間，中國電信數(shù)據(jù)通信分公司資安部主任洪金福接到國安系統(tǒng)的詢問電話。

因?yàn)檫@個攻擊估計超過1Tbps，中國電信是臺灣省最大的ISP業(yè)者，同時也維運(yùn)政府骨干網(wǎng)路以及學(xué)術(shù)網(wǎng)路，所以，連電信主管機(jī)關(guān)NCC如果是這樣的話，行政院資安部非常關(guān)心一個問題Tb級DDoS一旦攻擊在臺灣爆發(fā)，臺灣能阻止嗎？

「如果臺灣企業(yè)只靠自己擋不住Tb級DDoS攻擊，」然而，如果臺灣企業(yè)真的遇到這樣的攻擊，洪金福的答案是「可以」，但是通過各種手法和聯(lián)防來防御。他解釋說，單一企業(yè)無法阻止，必須尋求ISP在業(yè)者的幫助下，只是單一的ISP面對如此大規(guī)模的攻擊，業(yè)主必須實(shí)現(xiàn)區(qū)域聯(lián)防，才能阻擋如此大規(guī)模、大流量DDoS攻擊。

阻擋Tb級DDoS攻擊取決于上游清潔和下游阻擋機(jī)制

資安專家劉俊雄指出，面對DDoS包括企業(yè)和ISP大多數(shù)從業(yè)者無法實(shí)現(xiàn)完全的防御，大多數(shù)從減緩DDoS要有效減緩攻擊強(qiáng)度，「上游就必須有流量清洗機(jī)制，下游則必須要有防御機(jī)制去阻擋?！顾f。

洪金福也同意這一觀點(diǎn)。他說，中國電信本身采用多層次的深度防御機(jī)制來防止堵塞和抵抗這種情況DDoS根據(jù)攻擊的來源和規(guī)模，可以選擇最合適的阻擋方法，包括：Border端可采用境外阻斷和邊境控制的做法；Backbone國內(nèi)控制可用于骨干端；Edge端則做到DDoS隔離清潔服務(wù)。

洪進(jìn)福進(jìn)一步解釋說，有些線路來自國外ISP連進(jìn)臺灣省，有的來自國內(nèi)ISP線路連接，國內(nèi)ISP線路將通過臺灣網(wǎng)絡(luò)網(wǎng)絡(luò)交換中心(TWIX)連接，中國電信的線路將連接這兩個國外和國內(nèi)ISP并在連接兩條線路的地方進(jìn)行防堵。

如果這樣的DDoS攻擊來自海外ISP臺灣等海纜的頻寬使用已經(jīng)受到業(yè)者的影響ISP工人可以使用遠(yuǎn)端驅(qū)動工具并呼叫Tier1的ISP行業(yè)聯(lián)防，把DDoS攻擊在海外完成；ISP也會被業(yè)者利用BlackHole(黑洞)機(jī)制，攻擊用戶IP路由導(dǎo)入黑洞，無法從外部獲取網(wǎng)站服務(wù)，以保護(hù)它ISP其他客戶的安全；如果這些DDoS攻擊影響國內(nèi)網(wǎng)絡(luò)安全，ISP操作人員還將使用網(wǎng)絡(luò)訪問控制工具和邊境控制技術(shù)來阻止這些DDoS攻擊包影響臺灣用戶。

有些時候，DDoS當(dāng)攻擊過多時，海外阻擋或邊境控制無法阻擋，或進(jìn)入臺灣的網(wǎng)絡(luò)骨干，或攻擊來自臺灣，可以控制骨干內(nèi)部，通過限制頻率寬度，攻擊黑洞或這些包Drop掉。

洪進(jìn)福說，一旦這些DDoS攻擊已經(jīng)兵臨城下，影響用戶端的網(wǎng)絡(luò)服務(wù)時，可以通過DDoS隔離清洗方式，將攻擊流量引入隔離清洗區(qū)，通過網(wǎng)絡(luò)設(shè)備過濾常規(guī)攻擊流量，分析一些惡意包裝攻擊行為模式阻擋，也可限制連接數(shù)量和攻擊分析，或通過定制保護(hù)措施，能夠過濾掉攻擊用戶網(wǎng)絡(luò)服務(wù)的大部分流量，保證用戶網(wǎng)絡(luò)服務(wù)的安全穩(wěn)定。

由于電信等基礎(chǔ)網(wǎng)絡(luò)建設(shè)的普及，臺灣有許多對外連接的網(wǎng)絡(luò)接口。劉俊雄說，即使臺灣不幸遭受大規(guī)模的痛苦DDoS攻擊也可以避免網(wǎng)絡(luò)因網(wǎng)絡(luò)癱瘓而鎖定國家。

物聯(lián)網(wǎng)裝置成DDoS幫兇越來越嚴(yán)重

作者可以從物聯(lián)網(wǎng)裝置的普及和惡意程式來控制物聯(lián)網(wǎng)裝置的惡意程式Mirai開源釋放后，這種物聯(lián)網(wǎng)裝置連帶啟動DDoS可以預(yù)測，攻擊事件會增加，「即便到2017年，這樣的物聯(lián)網(wǎng)DDoS攻擊的規(guī)模和數(shù)量肯定只會更多而不會減少?！购檫M(jìn)福說。

為了減少M(fèi)irai惡意程序或其他僵尸網(wǎng)絡(luò)程序IoT國家政府已經(jīng)提供了設(shè)備威脅的相關(guān)標(biāo)準(zhǔn)，呼吁IoT制造商提高IoT像美國政府今年11月一樣，設(shè)備的安全性，對外發(fā)表保護(hù)IoT策略準(zhǔn)則(StrategicPrinciplesforSecuringtheInternetofThings)，借此唿吁IoT設(shè)計、生產(chǎn)和使用生態(tài)系統(tǒng)行業(yè)者IoT裝置系統(tǒng)時，應(yīng)承擔(dān)保障IoT安全責(zé)任。

然而，洪金福認(rèn)為，盡管美國提出了相關(guān)建議IoT裝置安全標(biāo)準(zhǔn)，但沒有法律規(guī)范，只對IoT制造商很難減少僵尸網(wǎng)路程感染IoT目前裝置的威脅很多IoT該裝置似乎沒有自動韌體更新功能(簡稱FOTA)，如果沒有這些相關(guān)的防護(hù)措施和規(guī)范，通過IoT裝置發(fā)動的DDoS攻擊將繼續(xù)發(fā)生。