日前，DNS托管服务商Dyn遭大规模DDoS攻击，引起行业内一片哗然。从Dyn在遭受攻击期间发布的公告来看，该公司在第一次发现攻击时，表示情况还在掌握中；然而仅一小时之后的二次攻击袭来时，面对同时发生的多个攻击，情况已失去了控制……

Dyn遭DDoS攻击事件再次给业内敲响了警钟，攻击者已然将矛头对准互联网根基，我们的防御也需要从源头出发，通过建设完善的网络基础设施来抵御威胁的侵袭。

日前，Ixia亚太区安全业务总监Phil Trainor、中国区安全业务发展总监孙震接受了TechTarget记者的采访，在回顾本次事件的同时也介绍了在应对DDoS等恶意攻击方面，Ixia的一些思考和建议，以及其可为企业提供的一些切实的帮助。

Dyn遭DNS DDoS攻击回溯

在谈及DNS攻击时，会发现非常有意思的一点——DNS的解决方案通常都是支持大带宽的，很多客户都在用。DNS负责地址解析，将大多数人并不知晓的IP地址转换成普通人所熟悉的网址。针对DNS的反射攻击，通常会伪装一个目标，然后发出一个DNS问题，答案会很长，再发送给目标，所以DNS本身的设计要大容量、大带宽、大流量。

在事故中，发起攻击的这些点即是我们常说的僵尸，要知道所有的僵尸IP地址基本上是不可能的，不过我们能够知晓其控制方的IP地址。通常控制方先要发出指令给这些僵尸，从而发动攻击，因此，如果我们的拦截机制能够有效阻拦控制者的IP地址，则其控制的僵尸自然就无法成功实施DDoS攻击了。

这里即引出Ixia ThreatARMOR解决方案，据Phil Trainor介绍，它可以帮助企业用户防止很多网络攻击，帮助阻拦一部分恶意IP地址，当然企业还会持续受到其他网络攻击，所以企业需要同时采用不同的防护设备，以防止进一步攻击。

完善网络基础设施，封锁恶意攻击

据Phil Trainor介绍，除防御上述的DDoS攻击类型外，Ixia还可以帮助抵御其他类型的攻击，诸如恶意软件等。Ixia致力的方向主要有二，其一是帮助企业建立更加完善更加安全的网络基础设施，其二是帮助企业阻止并封锁恶意攻击，另外还可以针对攻击进行大规模仿真，以测试解决方案能否应对这些攻击。

针对这两个方向Ixia也形成了两类主要的产品和解决方案，一个是直接进入生产网络的，另一个则是对解决方案的测试。经测试的安全解决方案最终也会进入生产网络，解决方案的安全测试是通过模拟仿真现实生活中的攻击，以测试方案能否在攻击下正常运行并测试其安全性能。通过观察各种解决方案在遭受攻击时的表现以更好地理解企业所面临的网络风险。

这些测试通常是在实验室里仿真DDoS攻击进行的，同时也需要真实的用户参与到系统模拟中去，以帮助企业测试其防御措施到底如何，这样Ixia得以更具针对性的为企业用户提供相应的阻止或封锁攻击的解决方案，而这一过程并不需要企业多费资源。

强大性能及背后的支撑力量

Ixia系统运行速度非常快，一个机架可达960Gbps的速度，同时可支持新建会话的数量高达2400万个。现在的一些DDoS攻击可以达到600Gbps的速度，利用十万个物联网设备。针对如此大规模DDoS攻击采取相应措施，唯有具备强大性能的解决方案才能够真正为用户提供帮助。

此外，Ixia背后的强大后盾是其智能应用威胁情报团队，主要用来更全面地了解现代安全事件。加强对最新事件的了解，从而采取更好的防卫措施。通过对应用风险情报的研究，Ixia可在实验室里模拟和仿真DDoS或其他类型的攻击。

针对DDoS，Ixia有一个专门的实验室，其创建的流量可以从100G到1TBPS，针对那些发起僵尸网络的攻击者，Ixia可模仿其控制功能，从而控制成千上万僵尸网络中的设备。同时也为企业提供一个涵盖各种攻击类型的大型数据库，除仿真外，也能应对真实的攻击。

DDoS攻击经久不灭，Ixia通过主动测试帮助验证企业DDoS防护系统是否能够起到有效保护作用，加之通过基于IP的防护设备自动探听识别僵尸网络的控制主机从而进行有效拦截，从而对DDoS攻击进行有效地封锁。