DDoS防治：网络管理和网络安全的异同

在工作中笔者经常听到一些抱怨，说自己的网站又被DDoS攻击了。作为从业者，听到这样的消息实感无奈。多年前就已经有人已经提出了网络实名与攻击溯源，可现在这么多年过去了，DDoS依然攻击依旧。下面就先从DDoS防治这个话题来谈起。

DDoS：本不该再出现的异常流量

为什么说DDoS是本不该再出现的异常流量，是因为如果把木马、蠕虫比喻成电影《天下无贼》里的小偷的话，那么DDoS就能算是个明火执仗的土匪，借用黎叔的话讲，就是一点技术含量也没有。现如今社会法制相对比较完善，人人都有身份证，出门都是摄像头，就算真的有人出来打、砸、抢，估计跑不太远就会被抓。那么DDoS这种严重影响网络正常应用的“土匪”行径，为什么可以猖獗至今呢？

是技术不足吗？看上去不像，早在2014年国家网络安全周上，一大堆安全厂商就竞相在硕大的屏幕上进行网络攻击溯源的展示，很是吸引眼球。是管理方面的问题吗？《网络安全法》在2016年也已经发布。技术和管理都已经到位的情况下，依然会出现问题，那就只有能力不足这一种可能性了。下面就让我们步入正题，从网络安全与网络管理的角度来进行一下分析。

网络管理与网络安全的异同

在网络管理和网络安全的初始阶段，交换机是交换机，防火墙是防火墙，两者基本上没有什么交集之处。但是随着网络技术的发展，交换机上开始跑起了三层路由，防火墙开始变成网关的路由器，两者开始互抢对方的饭碗，随后交换机上开始可以设策略封端口，算是彻底抢了防火墙的饭碗，而防火墙则向着更高的层次发展，摇身一变成了下一代防火墙……

由此可见，随着网络设备管理能力的提升，正在将更多的网络安全功能融入其中。但是网络与网络安全之间，目前为止还依然存在着一条难以跨越的鸿沟，那就是网络管理始终管理的是连接，关心的是网络连接从哪里开始，经过多少路由，转发的延时是多少。而网络安全则注重传输内容，判断是否为攻击流量、攻击类型以及如何进行处理。也就是说，网络管理更偏向于全局管理，而网络安全更倾向内容分析。

而在实际应用过程中，这些不同的倾向性往往会产生致命的结果。正所谓道高一尺，魔高一丈。以前靠发syn包，做个长ping的简单DDoS攻击，早被模拟或就是真实应用连接请求所取代。这些攻击流量往往和真实流量混杂，通常的网络安全手段很难将其分辨。更何况还有利用0Day传播的网络蠕虫、恶意网页、木马程序等等。这也是DDoS至今猖獗始终难以消灭的一个重要原因。

要想从根本上解决这个问题，就需要站在全局的角度去考虑问题。既要对攻击内容进行准确识别，又要找到攻击源头有针对性地进行防御，再有确实可信的取证，这样才能结合国家相关的法律、法规，对相应的违法行为进行处罚，从而在根源上解决问题。而这需要网络管理与网络安全的统一融合。

但是。这种融合并不是一件十分轻松就可以完成的事情。先不去讨论对所有网络传输内容进行检测的合法性问题，仅从实现技术的角度看，就有很大的难题需要进行克服：传统的网络管理控制器处理能力有限，很难满足对每条流的连接况状进行分析。要想解决的话，目前看来只能通过软件定义方法。

如何挖掘SDN控制器的潜能

当前，随着网络接入设备数量和网络流量的飞速增长，通过软件定义管理控制网络的SDN、SD-WAN技术相继出现了。在SDN技术出现的初期，人们，就已经认识到了基于传输层的网络连接而不是仅基于网络层的IP对网络进行管理控制的重要意义。因此，先天就具备了部分网络安全管理控制能力。这也为网络管理与网络安全的融合提供了难得的一个契机。但是，SDN毕竟是为网络管理而设计的技术，用在网络安全上还是会有些力不从心。那么应当如何挖掘SDN的潜力，让网络管理与安全趋于一统呢？

SDN可否用于网络安全管理，答案无疑是肯定的。现在已经有很多安全厂商在推出基于SDN技术的网络安全管理方案，但大多数只是将SDN作为一个大的网关设备，而不是基于网络整体来对网络威胁进行分析。实际上，通过连接进行管理的SDN，可以让管理者们看到的东西会更多，内容也会更加丰富，通过对可疑流量的镜像分析，还可以深入了解网络威胁的具体应用行为。

现在的问题在于，如何通过SDN对正常流量与异常攻击加以识别，而不是单纯的在网关处对攻击流量进行简单的拦截，从而在整网泛围内对攻击的动向进行全面掌控。这种撑控也会比通过sniffer嗅探的方式更加真实可信，从而可以更精准地对攻击源头进行定位。这就好像在网络上也安装上了一个个高清摄像头，对于正常用户而言，不会存在任何影响，而对破坏份子而言，一做坏事甚至一露面就可以被识别。做坏事的人被抓住了，造成的损失自然也会可控了。

但目前这还只是一个理论上的推断，要想真正实施，恐怕还需要制订出一个统一的基于软件控制的网络与网络安全管理标准才能进行实现。但是从技术的角度上看，网络安全与管理的统一融合还是具备相当大的可行性。

网络管理与安全是否该进行统一？

当前，移动互联技术的飞速发展，导致网络应用数量激增，也由此引发出更加广泛的网络安全问题。传统DDoS攻击没有被遏制，勒索病毒、恶意刷单等新的网络威胁形式又不断出现，给人们正常网络应用造成极大困扰。这些网络威胁有些是属于网络安全范围的恶意攻击，有些是属于网络管理范畴的应用流量，二者往往会相互裹挟，难以统一进行防御，对网络正常应用造成极大威胁。

新的网络威胁也会催生出新的网络安全解决方案，而从网络整体的角度出发，将网络管理与网络安全融合成为一体，会更加有助于从威胁源头解决问题。但是统一并不意味着不再需要网络安全，而是正好相反，未来网络安全会发挥出更加重要的作用。未来DDoS之类的恶意攻击可能会因为统一监管而减少，但是漏洞、蠕虫、拖库等网络威胁依然还会产生。这些高技术的网络威胁问题，还是需要有更高本领的网络安全人士进行解决，也许未来基于大数据分析的人工智能技术继续发展后，可以将这些应用类的网络威胁也统一由网络管理设备进行统一处理。但是现在，还是让那些各大网络安全厂商的那些已经树立多年的网络安全溯源大屏发挥他们的真正作用吧！