Support

用于 DDoS 防护的解决方案

只有使用一个紧密集成、多阶层的防御,你才可以充分保护你的组织免于各种 DDoS 攻击。

DDoS 攻击:防护的简介、说明和策略


DDoS 攻击是什么?

DDoS(分布式拒绝服务)攻击就是攻击者发起的一个尝试,目的是耗尽可用于网络、应用程序或服务的资源,以致于真正的用户无法访问这些资源。

从 2010 年开始,并在相当程度上在黑客行动主义兴起的激励下,DDoS 攻击有所回升,从而刺激了工具、目标和技术等领域的创新。

如今,DDoS 攻击已经演变成一系列攻击,包括非常大规模的、更微妙的、不易检测的攻击,针对应用以及现有的安全基础设施如防火墙和 IPS。

DDoS 攻击不同的类型有哪些?

DDoS 攻击变化显著,并且一个攻击可以执行的不同方式有上千种(攻击源),但是一个攻击向量一般可归于三大类之一:

容量耗尽攻击:试图消耗无论是目标网络/服务范围内、还是在目标网络/服务和互联网其余部分之间的带宽。这些攻击只是会造成拥堵。

TCP 状态表耗尽攻击:这些攻击试图消耗许多基础设施组件(例如负载均衡器、防火墙和应用服务器本身)中存在的连接状态表。即使能维持数以百万计的连接状态的高容量设备也可以被这些攻击搞垮。

应用层攻击:这些针对第 7 层上的一个应用程序或服务的一些方面。这些是最致命的一种攻击,因为他们可以甚至有效到少到一个攻击机器便可以产生低流量速率(这使得这些攻击难以主动检测和清除)。这些攻击在过去的三、四年中普遍发生,并且简单的应用层泛洪攻击(HTTP GET flood 等)已经成为在外界发现的最常见的 DDoS 攻击之一。

今天老练的攻击者针对基础架构设备将容量耗尽攻击、状态表耗尽攻击和应用层攻击混合成一个单一的、持续的攻击。这些攻击很受欢迎,因为它们难以抵御,往往非常有效。

但问题并没有结束。据 Frost & Sullivan 说,DDoS 攻击是创新“越来越多地被用作牵制战术以进行有针对性的持续攻击。”攻击者正在发起 DDoS 攻击以分散网络和安全团队注意力,同时试图向网络中注入恶意软件,目的旨在偷取 IP 和/或关键客户或财务信息。

为什么 DDoS 攻击如此危险?

DDoS 代表对业务连续性的一个严重威胁。随着组织变得越来越依赖于互联网和基于网络的应用程序和服务,可用性变得如同电力一样重要。

DDoS 攻击不仅对明显需要可用性的零售商、金融服务及博彩公司构成威胁。DDoS 攻击也针对你的组织用以管理日常运营所依靠的关键业务应用,如电子邮件、销售力自动化、CRM 和许多其他应用。此外,其他行业如制造业、制药和医疗保健行业,拥有供应链和其他业务伙伴日常业务运营所依赖的内部网络性能。所有这些都是当今老练的攻击者们的目标。

DDoS 攻击成功的后果是什么?

当一个面向公众的网站或应用程序不可用时,可能会导致客户愤怒、收入损失和品牌受损。当业务关键应用变得不可用时,运营和生产力陷于停顿。合作伙伴所依靠的内部网站意味着供应链和生产中断。

一个成功的 DDoS 攻击也意味着你的组织已经邀请了更多的攻击。你可以期待攻击一直持续到更强大的防御部署。

你用于 DDoS 防护的可选方案有哪些?

鉴于 DDoS 攻击的高姿态性质及其潜在的破坏性后果,许多安全供应商也已经突然开始提供 DDoS 防护解决方案。有这么多方案取决于你的决定,关键是要了解你的可选方案的优点和缺点。

现有的基础设施解决方案 (防火墙、入侵检测/保护系统、应用交付控制器/负载均衡器)

IPS 设备、防火墙和其他安全产品都是分层防御策略中的基本要素,但是它们的设计用途是解决安全问题,这与专用的 DDoS 检测和缓解产品具有本质上的区别。例如,IPS 设备可以阻止那些以盗窃数据为目的的入侵企图。而防火墙则扮演着政策执行者的角色,防止未经授权的数据访问。虽然这样的安全产品有效解决“网络的完整性和保密性”,它们不能解决涉及 DDoS 攻击“网络可用性”的一个基本问题。更重要的是,IPS 设备和防火墙是有状态的、内嵌的解决方案,这意味着它们很容易受到 DDoS 攻击而且 他们自身常常成为攻击目标。

类似于 IDS/ IPS 和防火墙,ADC 和负载均衡器没有更广泛的网络流量可视性,也没有集成威胁智能感知,并且它们也是有状态的设备易于受到状态耗尽攻击。状态耗尽威胁、容量耗尽威胁以及混合应用级别攻击的增加,使得 ADC 和负载均衡器成为需要最佳 DDoS 防护的客户的一个有限和局部的解决方案。

内容分发网络 (CDN)

事实是,一个 CDN 可以解决一个 DDoS 攻击的症状,但只是吸收这些大量的数据。它允许所有的数据流入和流出。全部都是受欢迎的。这里有三个注意事项。第一,必须有带宽可用于吸收该大规模流量,其中一些基于容量的攻击超过 300 Gbps,并且所有的容量能力都有代价。第二,CDN 周围有路径。并不是每一个网页或资产都将使用 CDN。第三,一个 CDN 不能免于遭受基于应用的攻击。因此让 CDN 去做它要做的事情。

Arbor 用于 DDoS 防护的方法是什么?

十多年来,Arbor 已经保护世界上最大和最苛求的网络免于遭受 DDoS 攻击。Arbor 坚信保护你的资源免于遭受现代 DDoS 攻击的最好方式是通过一个特别构建的 DDoS 攻击缓解解决方案的多层部署来实现。

你需要云保护以阻止今天超过 300GB/sec 的大容量攻击。您还需要本地保护以防范隐身应用层攻击,以及防范对现有有状态基础设施设备如防火墙、IPS 和 ADC 的攻击。

只有使用一个紧密集成、多层防御,你才可以充分保护你的组织免于遭受各种 DDoS 攻击。

通过我们的产品向 Arbor 客户提供他们自己网络的微观视图结合通过我们的 ATLAS 威胁智能感知架构提供的全球互联网流量的宏观视图,客户享有了巨大的竞争优势。 这是一个强大的网络安全智能组合,当今无与伦比。由于这样独特的优势,Arbor 的安全研究团队在发布有关威胁互联网基础设施和网络可用性的 DDoS 攻击、恶意软件、僵尸网络的情报信息方面占据理想的位置。