DDoS攻击倍增，ISP面临更大的威胁

安全及网络管理商Arbor Networks于周二（11/11）公布了全球架构安全报告，调查10家位于美洲、欧洲及亚洲的网络服务供货商（ISP），发现在经济成长衰退、资源紧缩的现在，网络攻击愈演愈烈，而且攻击手法愈来愈复杂，未来ISP将面临更强大的威胁。

该调查发现，今年针对ISP业者所发动的最大的阻断式服务攻击（DDoS）规模已成长到40Gbps，去年最大的DDoS攻击规模为24Gbps，前年为17Gbps，连续两年皆提升了67%，更是2001年的100倍，显示出攻击规模的增长已超越ISP业者在传输速度及架构投资的成长幅度。

此外，去年有36%的受访者表示发现有逾1Gbps的持续攻击行动，今年的比例亦成长一倍。

多数的ISP业者皆可侦测到阻断式服务攻击，但该调查发现，仅有少数ISP业者有能力在10分钟以内解决，而能阻挡服务等级攻击或是40Gbps DDoS攻击的比例更低。

Arbor科学长Craig Labovitz指出，在过去四年的调查中，ISP业者都将可用的安全资源拿来抵挡阻断式服务攻击，但今年是首次出现ISP业者反映有更多样化的威胁，包括DNS快取污染、边界网关协议（BGP）挟持及垃圾讯息等，并有接近一半的ISP业者认为他们的DNS服务是易受攻击等。

Arbor表示，除了针对网络架构的攻击数量成长以外，该调查发现诸如服务等级或是锁定应用程序的小型且复杂的攻击行为比大型的攻击更难掌控，而且可能会造成网络服务的瓦解。

Arbor安全长Danny McPherson认为，要侦测应用层级的攻击比大规模攻击还难，ISP业者必须仔细检视包括DNS、HTTP、VoIP、IM及P2P等IP服务与应用程序，以找出并降低相关攻击所带来的影响，特别是ISP业者应该具备可快速侦测并移除攻击流量的能力，同时维持合法流量的运作才行。

对于未来的一年ISP业者最担心的问题仍是有增无减的僵尸网络（26%），其次则是DNS快取污染（23%）以及BGP路由器挟持（15%）等。

McPherson指出，ISP业者面临了双重的挑战，一是因经济成长衰退所带来的成本及营收压力，二是攻击行为不论是在规模、频率或复杂度上都逐渐上扬；不过，藉由安全社群的沟通及信息交流让ISP业者对现在及未来的威胁将能有较完善的准备