所谓“道高一尺，魔高一丈”，从互联网诞生之日起，网络安全问题就随之产生；而在各种安全防护技术不断提升的同时，各种网络攻击和犯罪行为也是花样不断更新，形成了攻击和防攻击对阵的形势。

在对抗网络攻击的过程中，了解和洞察互联网上的各种安全威胁尤为重要。在此方面，Akamai公司依托遍布全球的分布式平台，持续跟踪网络安全状况并发布分析报告，近日，Akamai发布了2015年第二季度互联网发展状况安全报告。根据报告，网络攻击和网络犯罪行为变得越来越自动化，分布式拒绝服务（DDoS）与网络应用攻击带来的威胁持续不断增加，同时DDoS的货币化趋势愈演愈烈。

技术进步成“双刃剑”

John Ellis，Akamai亚太及日本区域首席网络安全战略专家，从事IT安全研究20年，他告诉记者，网络攻击和网络犯罪行为的简单化和自动化是网络安全呈现出的最新特征。

“软件和技术的进步，使得现在进行网络攻击和网络犯罪的人员专业程度并不需要很高，提供给攻击者的资源也越来越丰富和多样，使得网络犯罪这一原本属于资源密集型的工作变得越来越简单和自动化，攻击来源也日益分散化。”John Ellis表示，“在互联网黑市上，各种用于攻击的软件和设备自由交易，网络攻击者无需了解复杂的编码编程，而是只了解如何使用这些工具，即可发动大规模网络攻击。由此也导致互联网犯罪越来越多。”

分布式拒绝服务（DDoS）通过大量合法的请求占用大量网络资源，以达到瘫痪网络服务的目的。根据Akamai的调查，DDoS最近也呈现出了新的趋势，不仅在量上有持续增加的趋势，而且攻击的目的也变得货币化。

根据Akamai的调查，在过去3个季度内，DDoS攻击量同比增长了132%。尽管攻击者倾向于发起不太强烈但持续时间较长的攻击，但危险的大规模攻击数量也在持续上升。2015年第二季度，12起攻击的峰值流量超过了100Gbps，5起攻击的包转发率峰值超过了50Mpps，只有极少数的企业能够以一己之力承受住这样的攻击。

同时，DDoS攻击行为的货币化趋势越来越明显。John Ellis表示，以前DDoS攻击的主要目的是用来打击竞争者，或者表明某些政治立场，但是现在DDoS攻击团体会利用这种行为来对企业进行勒索，他们会发动一些小型攻击，以互联网虚拟货币的形式进行勒索，这比现实的货币更容易支付，被勒索的受害人也比较容易支付这种货币。这就导致许多以前认为自己不太可能成为DDoS攻击目标的企业变成了DDoS攻击的目标。

网络攻击方式和来源

以安全为目标的超文本传输协议HTTPS正在规模普及，而根据Akamai的调查，一种名为Shellshock的攻击，2015年第一季度仅有9%通过HTTPS展开，而在第二季度则升至56%。为什么HTTPS成为了网络犯罪分子的最新攻击对象？

John Ellis从3个方面进行了分析：首先，从协议本身看，HTTPS是在HTTP原始协议基础上加上TLS加密协议，HTTP环境下管道里的数据未经过加密是可见的，在HTTPS环境下管道里的数据流量经过加密不可见；其次，目前所使用的防火墙和防入侵软件无法解密经过HTTPS加密的流量，无法通过传统方式来阻止对Web应用发动的攻击。

“从攻击的角度看，HTTP和HTTPS对于黑客而言没有本质上的区别，反而让黑客们知道用HTTPS协议有一些敏感信息，从而让他在发动攻击时更有针对性。黑客会针对HTTPS采取解密工具和恶意流量注入的方式，从Web应用源头入手混淆视听，而用户由于采用HTTPS而无法在传输过程种分辨流量内容，反而为黑客分子大开方便之门。”

此外另一个值得注意的现象是，根据Akamai的统计，2015年第二季度DDoS攻击的十大来源国和地区中，中国居然高居榜首，占比高达37%，比位于第二名的美国的占比高出20%。

John Ellis认为，中国占比高，首先是因为中国人口基数大；其次中国设备被恶意软件感染的比例非常高，接近50%；再次，来自其他国家的黑客通过恶意代码入侵中国的系统，将其组成僵尸网络，这样表面上看来是来自中国的攻击，其实背后的操纵者位于其他国家，这种被控制的机器在中国被叫做“肉鸡”。由于各国法律层面对此问题的规定并不健全，因此即使中国官方掌握了这一情况，也无法将真正的犯罪分子绳之以法。

需加强分析和预判

掌握网络攻击的最新动向并有针对性地采取措施，是行之有效的网络防攻击做法。

针对网络攻击自动化的趋势，John Ellis建议相关公司加强对大数据的收集和分析，提升对于自动化机器的学习能力，并聘用足够多的数据科学家，及时捕捉网络异常状况并采取防控措施。对于HTTPS成为网络攻击新对象的问题，John Ellis建议网络架构师从架构方面入手，改变网络架构，以方便卸载加密协议，以方便自己观察到进入管道中的流量的具体情况。而对于“肉机”的问题，John Ellis认为随着个人联网终端数量的不断增多，被各种病毒入侵的风险也与日俱增，因此他建议用户经常为系统做升级、打补丁，尽可能消灭有可能被恶意人士利用的突破口。

在网络安全方面，Akamai拥有遍布全球的CDN和服务器平台，通过这一平台，Akamai可以做到以下几点：第一，Akamai的平台可以近距离地观察网络攻击行为，收集相关数据，并对恶意行为进行分析判断；第二，Akamai的边缘服务器分布在世界各地，可以随时根据观察到的恶意攻击行为来完善安全策略，并把更完善的安全策略反馈给平台上的用户；第三，DDoS攻击中夹杂着正常业务流量，Akamai可以采取清洗中心的方式，除去恶意流量，留下正常流量，以保证数据中心应用的可用性。而由于Akamai的平台分布在全球各地，无论用户处在世界哪个角落，无论使用怎样的设备，所有的Akamai边缘服务器会同时执行一致的安全策略。