隨著DDoS攻擊越來越頻繁的威脅到基礎(chǔ)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)安全�,如今每個公司都會考慮選用具有DDoS攻擊能力的服務(wù)器產(chǎn)品,把安全防護的需求交給專業(yè)的服務(wù)提供企業(yè)是現(xiàn)在普遍的防護手段�����。通常大型數(shù)據(jù)中心都會使用旁路部署技術(shù)來應(yīng)對:抗拒絕服務(wù)產(chǎn)品可以不必串聯(lián)在原有網(wǎng)絡(luò)中���,除了減少故障點����,而且由于大多數(shù)帶寬不必實時通過抗拒絕服務(wù)產(chǎn)品�,因此一個較小的抗DDoS清洗容量就可以適用于一個大帶寬的網(wǎng)絡(luò)中,有效的降低投入成本���。旁路工作原理如下:
攻擊檢測:通過配置鏡像接口或Netflow方式 感知到有攻擊流量��,判斷是否有拒絕服務(wù)攻擊發(fā)生�。
流量牽引:確定發(fā)生拒絕服務(wù)攻擊后����,利用路由 交換技術(shù),將原本要去往受害IP的流量牽引至旁路 ADS設(shè)備���。被牽引的流量為正常流量與攻擊流量的混合流量���;
攻擊防護/流量凈化:ADS設(shè)備通過多層次 的垃圾流量識別與凈化功能����,將拒絕服務(wù)攻擊 的流量從混合流量中分離��、過濾���;
流量注入:經(jīng)過ADS凈化之后的正常流量被重新注入回網(wǎng)絡(luò),到達目的IP.
采用旁路部署���,具有以下優(yōu)勢:僅在IPS等安全設(shè)備報警時與之聯(lián)動����,開始自動注入混合流量�,平時正常情況下并不工作;設(shè)備旁路部署即使ADS出現(xiàn)故障也不會影響網(wǎng)絡(luò)連通性���;多機并用成倍提升清洗能力����;支持手動/自動牽引流量,讓安全工程師與安全設(shè)備互補�����。
一級運營商管理運營豐富的骨干網(wǎng)帶寬資源����,對于大流量及超大流量DDoS攻擊具有先天性的壓制優(yōu)勢,運營商是整個網(wǎng)絡(luò)的支撐者�,所有的攻擊流量都必須通過運營商, 如果在運營商層面全面的打擊DDOS攻擊行為����,將能起到一勞永逸的效果,所以運營商應(yīng)當(dāng)為用戶打造抗DDOS的堡壘���。
對于運營商而言�����,保證其網(wǎng)絡(luò)可用性是影響ROI的決定因素�����。如果運營商的基礎(chǔ)網(wǎng)絡(luò)遭受攻擊�����,那么所有承載的業(yè)務(wù)都會癱瘓��,這必然導(dǎo)致服務(wù)質(zhì)量的下降甚至失效�����。同時�,在目前競爭激烈的運營商市場,服務(wù)質(zhì)量的下降意味著客戶資源的流失��,尤其是那些高ARPU值的大客戶�,會轉(zhuǎn)投其他的運營商�,這對于運營商而言是致命的打擊。所以��,有效的DDoS防護措施對于保證網(wǎng)絡(luò)服務(wù)質(zhì)量有著重要意義�。另一方面,對運營商或是IDC而言�,DDoS防護不僅僅可以避免業(yè)務(wù)損失,還能夠作為一種增值服務(wù)提供給最終用戶��,這給運營商帶來了新的利益增長點,也增強了其行業(yè)競爭能力�。
目前大部分的DDOS攻擊都會使用偽造的IP地址,尤其是反射型的DDOS攻擊�����,如果不使用偽造的IP將無法攻擊�,如果運營商在全網(wǎng)開啟源IP的校驗,是不偽造的IP無法進入互聯(lián)網(wǎng)則可以從源頭上制止DDOS攻擊����。另外,使用溯源技術(shù):因為在全網(wǎng)開展源地址驗證可能會難度很大��,但是防DDOS的關(guān)鍵又在源地址上��,所以應(yīng)該使用各種溯源技術(shù)��,在攻擊發(fā)生時迅速找到攻擊源�����,取證并切斷攻擊源的網(wǎng)絡(luò)�����,使攻擊止于源頭。
對于普通用戶的網(wǎng)絡(luò)接入����,應(yīng)盡量給與私網(wǎng)IP地址,然后通過NAT多個用戶公用同一IP�,這樣第一節(jié)省了IP地址,第二���,普通用戶發(fā)出的各種報文的源地址都會被NAT替換成真實的地址��,防止源地址偽造����。第三�,也有利于普通用戶的安全,這相當(dāng)于多了一道防火墻���,能夠阻擋大部分來自公網(wǎng)的主動連接,比如掃描等行為�����?;蛘甙裪p報文頭中未實際使用的部分,比如八位的QOS標(biāo)志、IP選項字段���,加入對來源標(biāo)識功能�,每個接入層的路由交換設(shè)備帶有不同的標(biāo)致�,可以通過報文攜帶的不同標(biāo)志找到它的大體發(fā)送源。
運營商一定要高度重視自身網(wǎng)絡(luò)設(shè)備的安全性�����,不要讓網(wǎng)絡(luò)設(shè)備成為反射放大器甚至被黑客控制�����,因為運營商在網(wǎng)絡(luò)中起到只管重要的作用�,如果黑客遠程關(guān)閉一臺核心交換機將比任何DDOS攻擊危害更大效果更明顯。在各地區(qū)建立流量清洗站��,清洗DDOS流量�,并且為企業(yè)提供清洗服務(wù),將DDOS流量轉(zhuǎn)入清洗站清洗�����,如遇特大型DDOS攻擊時���,可以共同分擔(dān)清洗任務(wù)�。總之��,云計算公司有很大的計算能力�,運營商有很大的帶寬資源,強強聯(lián)合能極大提升抗DDOS能力���。
在DDoS攻擊中����,攻擊方和防御方就像兩名棋局上的棋手����,見招拆招,根據(jù)對方的改變而改變自己的攻擊/防御方法��,僅僅通過一種方式就打癱一個目標(biāo)是很難實現(xiàn)的���,僅僅靠ADS設(shè)備去自動的防御所有攻擊是不現(xiàn)實的,不論實在攻擊還是防御中��,人都應(yīng)該處在主導(dǎo)地位��,通過安全人員的專業(yè)知識與經(jīng)驗,合理的使用和配置防御設(shè)備才能更好的防御住來自于各方的各種DDOS攻擊�����。
微信掃一掃
