安全能力交换协同应对DDoS

在互联网诞生之初，网络安全问题也伴随出现，攻击与防御一直都处于此消彼长、相生相克的状态，其中以 DDoS 分布式拒绝服务攻击最甚。

根据2018年第一季度 DDoS 报告统计显示，DDoS 攻击了79个国家，DDoS 网络攻击已成全球化趋势，攻击者与受害者的数量大幅增长，长期攻击的数量也不断增加，单次攻击最长历时297小时。

安全形势的急剧恶化也催生出了海量的安全需求，大量安全厂商及网络运营商都投身到这场全球性的安全对抗战役中，但是随着网络攻击在规模、复杂性及量级方面的不断扩大，越来越多的网络安全厂商及运营商感觉到“力不从心”，大家都意识到应对现今的网络攻击已不是一家公司或单一组织可以解决的。协作，必将成为未来网络安全领域最重要的发展方向。

通过建立合作共赢的安全能力交换网，在一个多元化的分布式安全防御架构中，整合网络运营商、网络安全厂商、安全服务提供商等企业资源，并根据自身所能贡献的安全资源（如 IP，带宽，机柜等）、安全产品（如防火墙、Anti-DDoS、IDPS 等）、安全人才（如白帽子）和安全威胁情报进行对接协作，是目前最佳的协作防御合作模式。通过整合这些安全能力去有效扭转当下分布式安全网络中各自为阵，单打独斗的情况，同时帮助厂商从受限于自身产品性能的瓶颈中释放并扩大其安全能力，协调多方冗余资源，即可有效提高安全服务能力。

安全能力交换网络的实现离不开底层架构的搭建。而在安全市场上，基于Intel开源项目 DPDK 的底层防御架构已成为典型的安全应用实践之一。

DPDK 本身是为数据面快速做报文处理的应用程序提供的一套简洁的框架，同时它也提供了一部分示例指导使用者如何创建自身的应用程序。由于其中公开的代码是可迭代的，安全厂商可以经过理解之后构建自身对包转发的逻辑或者建立自身的协议栈，减少由于原有内核转发带来的开销，从而达到快速转发提高性能的目的。

通过使用自研发的协议栈绕过了 Linux 的内核协议栈，并且采用多核扩展的处理架构，保证了多台设备在同时使用的情况下可以尽可能减少由于存储体共用、抢占总线等影响并发处理的因素。同时，在考虑多核扩展的处理问题上，根据 CPU 的亲缘性把操作和程序处理绑定到了特定的内核上，并且尽量减少远端内存访问的情况，降低线程之间的等待时间，避免资源竞争带来的性能损耗。

现已有行业内的安全厂商利用这套底层架构进行底层防御的再研发，例如青松云安全推出的底层防御架构 HADES——基于Intel开放的 DPDK 套件，在x86架构上实现针对 DDoS 攻击的秒级识别和精准清洗，可将普通服务器转化为具有 DDoS 清洗能力的安全设备。同时，为了改善上文中所提到的安全行业单打独斗、各自为营的现状，这套架构支持接入安全能力交换网络，为解决能力网中的 DDoS 防御需求提供强大力量。已加入的安全厂商各有侧重，在安全能力交换网中分别贡献诸如清洗、检测、威胁情报等等的多种能力。

此外，安全厂商尝试将区块链技术引入安全能力交换网络，以解决各厂商在协作过程中可能涉及的一些信任问题，是对能力网络的一次全新升级。合作伙伴可通过底层防御架构对本地或异地安全资源进行自主调配及复用，向其他合作方贡献或索取冗余资源，形成连接全球的安全能力网络。利用区块链技术对安全能力与价值交换进行完整追溯，对产生的安全结果进行确权，有力促进安全能力交换网的日常协作，最大化利用协同的力量共同抵御黑客攻击，才能实现安全能力网的真正价值。

文本链接：https://linuxstory.org/security-capability-exchange-coordination-response-ddos