在工作中筆者經常聽到一些抱怨，說自己的網站又被DDoS攻擊了。作為從業者，聽到這樣的消息實感無奈。多年前就已經有人已經提出了網絡實名與攻擊溯源，可現在這么多年過去了，DDoS依然攻擊依舊。下面就先從DDoS防治這個話題來談起。

DDoS：本不該再出現的異常流量

為什么說DDoS是本不該再出現的異常流量，是因為如果把木馬、蠕蟲比喻成電影《天下無賊》里的小偷的話，那么DDoS就能算是個明火執仗的土匪，借用黎叔的話講，就是一點技術含量也沒有。現如今社會法制相對比較完善，人人都有身份證，出門都是攝像頭，就算真的有人出來打、砸、搶，估計跑不太遠就會被抓。那么DDoS這種嚴重影響網絡正常應用的“土匪”行徑，為什么可以猖獗至今呢？

是技術不足嗎？看上去不像，早在2014年國家網絡安全周上，一大堆安全廠商就競相在碩大的屏幕上進行網絡攻擊溯源的展示，很是吸引眼球。是管理方面的問題嗎？《網絡安全法》在2016年也已經發布。技術和管理都已經到位的情況下，依然會出現問題，那就只有能力不足這一種可能性了。下面就讓我們步入正題，從網絡安全與網絡管理的角度來進行一下分析。

網絡管理與網絡安全的異同

在網絡管理和網絡安全的初始階段，交換機是交換機，防火墻是防火墻，兩者基本上沒有什么交集之處。但是隨著網絡技術的發展，交換機上開始跑起了三層路由，防火墻開始變成網關的路由器，兩者開始互搶對方的飯碗，隨后交換機上開始可以設策略封端口，算是徹底搶了防火墻的飯碗，而防火墻則向著更高的層次發展，搖身一變成了下一代防火墻……

由此可見，隨著網絡設備管理能力的提升，正在將更多的網絡安全功能融入其中。但是網絡與網絡安全之間，目前為止還依然存在著一條難以跨越的鴻溝，那就是網絡管理始終管理的是連接，關心的是網絡連接從哪里開始，經過多少路由，轉發的延時是多少。而網絡安全則注重傳輸內容，判斷是否為攻擊流量、攻擊類型以及如何進行處理。也就是說，網絡管理更偏向于全局管理，而網絡安全更傾向內容分析。

而在實際應用過程中，這些不同的傾向性往往會產生致命的結果。正所謂道高一尺，魔高一丈。以前靠發syn包，做個長ping的簡單DDoS攻擊，早被模擬或就是真實應用連接請求所取代。這些攻擊流量往往和真實流量混雜，通常的網絡安全手段很難將其分辨。更何況還有利用0Day傳播的網絡蠕蟲、惡意網頁、木馬程序等等。這也是DDoS至今猖獗始終難以消滅的一個重要原因。

要想從根本上解決這個問題，就需要站在全局的角度去考慮問題。既要對攻擊內容進行準確識別，又要找到攻擊源頭有針對性地進行防御，再有確實可信的取證，這樣才能結合國家相關的法律、法規，對相應的違法行為進行處罰，從而在根源上解決問題。而這需要網絡管理與網絡安全的統一融合。

但是。這種融合并不是一件十分輕松就可以完成的事情。先不去討論對所有網絡傳輸內容進行檢測的合法性問題，僅從實現技術的角度看，就有很大的難題需要進行克服：傳統的網絡管理控制器處理能力有限，很難滿足對每條流的連接況狀進行分析。要想解決的話，目前看來只能通過軟件定義方法。

如何挖掘SDN控制器的潛能

當前，隨著網絡接入設備數量和網絡流量的飛速增長，通過軟件定義管理控制網絡的SDN、SD-WAN技術相繼出現了。在SDN技術出現的初期，人們，就已經認識到了基于傳輸層的網絡連接而不是僅基于網絡層的IP對網絡進行管理控制的重要意義。因此，先天就具備了部分網絡安全管理控制能力。這也為網絡管理與網絡安全的融合提供了難得的一個契機。但是，SDN畢竟是為網絡管理而設計的技術，用在網絡安全上還是會有些力不從心。那么應當如何挖掘SDN的潛力，讓網絡管理與安全趨于一統呢？

SDN可否用于網絡安全管理，答案無疑是肯定的。現在已經有很多安全廠商在推出基于SDN技術的網絡安全管理方案，但大多數只是將SDN作為一個大的網關設備，而不是基于網絡整體來對網絡威脅進行分析。實際上，通過連接進行管理的SDN，可以讓管理者們看到的東西會更多，內容也會更加豐富，通過對可疑流量的鏡像分析，還可以深入了解網絡威脅的具體應用行為。

現在的問題在于，如何通過SDN對正常流量與異常攻擊加以識別，而不是單純的在網關處對攻擊流量進行簡單的攔截，從而在整網泛圍內對攻擊的動向進行全面掌控。這種撐控也會比通過sniffer嗅探的方式更加真實可信，從而可以更精準地對攻擊源頭進行定位。這就好像在網絡上也安裝上了一個個高清攝像頭，對于正常用戶而言，不會存在任何影響，而對破壞份子而言，一做壞事甚至一露面就可以被識別。做壞事的人被抓住了，造成的損失自然也會可控了。

但目前這還只是一個理論上的推斷，要想真正實施，恐怕還需要制訂出一個統一的基于軟件控制的網絡與網絡安全管理標準才能進行實現。但是從技術的角度上看，網絡安全與管理的統一融合還是具備相當大的可行性。

網絡管理與安全是否該進行統一？

當前，移動互聯技術的飛速發展，導致網絡應用數量激增，也由此引發出更加廣泛的網絡安全問題。傳統DDoS攻擊沒有被遏制，勒索病毒、惡意刷單等新的網絡威脅形式又不斷出現，給人們正常網絡應用造成極大困擾。這些網絡威脅有些是屬于網絡安全范圍的惡意攻擊，有些是屬于網絡管理范疇的應用流量，二者往往會相互裹挾，難以統一進行防御，對網絡正常應用造成極大威脅。

新的網絡威脅也會催生出新的網絡安全解決方案，而從網絡整體的角度出發，將網絡管理與網絡安全融合成為一體，會更加有助于從威脅源頭解決問題。但是統一并不意味著不再需要網絡安全，而是正好相反，未來網絡安全會發揮出更加重要的作用。未來DDoS之類的惡意攻擊可能會因為統一監管而減少，但是漏洞、蠕蟲、拖庫等網絡威脅依然還會產生。這些高技術的網絡威脅問題，還是需要有更高本領的網絡安全人士進行解決，也許未來基于大數據分析的人工智能技術繼續發展后，可以將這些應用類的網絡威脅也統一由網絡管理設備進行統一處理。但是現在，還是讓那些各大網絡安全廠商的那些已經樹立多年的網絡安全溯源大屏發揮他們的真正作用吧！