網路分流器-網路分流器-DDoS攻擊與防護

yinliang198524發表於2018-08-27

網路分流器-戎騰網路分流器-DDoS攻擊與防護

網路分流器

DDOS 攻擊是什麼?DDoS(分散式拒絕服務)攻擊就是攻擊者發起的一個嘗試,目的是耗盡可用於網路、應用程式或服務的資源,以至於真正的使用者無法訪問這些資源。

從 2010 年開始,並在相當程度上在駭客行動主義興起的激勵下,DDoS 攻擊有所回升,從而刺激了工具、目標和技術等領域的創新。

如今,DDoS 攻擊已經演變成一系列攻擊,包括非常大規模的、更微妙的、不易檢測的攻擊,針對應用以及現有的安全基礎設施如防火牆和 IPS。


戎騰網路移動網際網路採集器


DDOS 攻擊不同的型別有哪些?DDoS 攻擊變化顯著,並且一個攻擊可以執行的不同方式有上千種(攻擊源),但是一個攻擊向量一般可歸於三大類之一:

容量耗盡攻擊 :試圖消耗無論是目標網路/服務範圍內、還是在目標網路/服務和網際網路其餘部分之間的頻寬。這些攻擊只是會造成擁堵。

TCP 狀態表耗盡攻擊 :這些攻擊試圖消耗許多基礎設施元件(例如負載均衡器、防火牆和應用伺服器本身)中存在的連線狀態表。即使能維持數以百萬計的連線狀態的高容量裝置也可以被這些攻擊搞垮。

應用層攻擊 :這些針對第 7 層上的一個應用程式或服務的一些方面。這些是最致命的一種攻擊,因為他們可以甚至有效到少到一個攻擊機器便可以產生低流量速率(這使得這些攻擊難以主動檢測和清除)。這些攻擊在過去的三、四年中普遍發生,並且簡單的應用層泛洪攻擊(HTTP GET flood 等)已經成為在外界發現的最常見的 DDoS 攻擊之一。

今天老練的攻擊者針對基礎架構裝置將容量耗盡攻擊、狀態表耗盡攻擊和應用層攻擊混合成一個單一的、持續的攻擊。這些攻擊很受歡迎,因為它們難以抵禦,往往非常有效。

但問題並沒有結束。據 Frost & Sullivan 說,DDoS 攻擊是創新“越來越多地被用作牽制戰術以進行有針對性的持續攻擊。”攻擊者正在發起 DDoS 攻擊以分散網路和安全團隊注意力,同時試圖向網路中注入惡意軟體,目的旨在偷取 IP 和/或關鍵客戶或財務資訊。

為什麼 DDOS 攻擊如此危險?DDoS 代表對業務連續性的一個嚴重威脅。隨著組織變得越來越依賴於網際網路和基於網路的應用程式和服務,可用性變得如同電力一樣重要。

DDoS 攻擊不僅對明顯需要可用性的零售商、金融服務及博彩公司構成威脅。DDoS 攻擊也針對你的組織用以管理日常運營所依靠的關鍵業務應用,如電子郵件、銷售力自動化、CRM 和許多其他應用。此外,其他行業如製造業、製藥和醫療保健行業,擁有供應鏈和其他業務夥伴日常業務運營所依賴的內部網路效能。所有這些都是當今老練的攻擊者們的目標。

DDOS 攻擊成功的後果是什麼?當一個面向公眾的網站或應用程式不可用時,可能會導致客戶憤怒、收入損失和品牌受損。當業務關鍵應用變得不可用時,運營和生產力陷於停頓。合作伙伴所依靠的內部網站意味著供應鏈和生產中斷。

一個成功的 DDoS 攻擊也意味著你的組織已經邀請了更多的攻擊。你可以期待攻擊一直持續到更強大的防禦部署。

你用於 DDOS 防護的可選方案有哪些?鑑於 DDoS 攻擊的高姿態性質及其潛在的破壞性後果,許多安全供應商也已經突然開始提供 DDoS 防護解決方案。有這麼多方案取決於你的決定,關鍵是要了解你的可選方案的優點和缺點。

現有的基礎設施解決方案 (防火牆、入侵檢測/保護系統、應用交付控制器/負載均衡器) IPS 裝置、防火牆和其他安全產品都是分層防禦策略中的基本要素,但是它們的設計用途是解決安全問題,這與專用的 DDoS 檢測和緩解產品具有本質上的區別。例如,IPS 裝置可以阻止那些以盜竊資料為目的的入侵企圖。而防火牆則扮演著政策執行者的角色,防止未經授權的資料訪問。雖然這樣的安全產品有效解決“網路的完整性和保密性”,它們不能解決涉及 DDoS 攻擊“網路可用性”的一個基本問題。更重要的是,IPS 裝置和防火牆是有狀態的、內嵌的解決方案,這意味著它們很容易受到 DDoS 攻擊而且 他們自身常常成為攻擊目標。

類似於 IDS/ IPS 和防火牆,ADC 和負載均衡器沒有更廣泛的網路流量可視性,也沒有整合威脅智慧感知,並且它們也是有狀態的裝置易於受到狀態耗盡攻擊。狀態耗盡威脅、容量耗盡威脅以及混合應用級別攻擊的增加,使得 ADC 和負載均衡器成為需要最佳 DDoS 防護的客戶的一個有限和區域性的解決方案。

內容分發網路 (CDN) 事實是,一個 CDN 可以解決一個 DDoS 攻擊的症狀,但只是吸收這些大量的資料。它允許所有的資料流入和流出。全部都是受歡迎的。這裡有三個注意事項。第一,必須有頻寬可用於吸收該大規模流量,其中一些基於容量的攻擊超過 300 Gbps,並且所有的容量能力都有代價。第二,CDN 周圍有路徑。並不是每一個網頁或資產都將使用 CDN。第三,一個 CDN 不能免於遭受基於應用的攻擊。因此讓 CDN 去做它要做的事情。

真正先進的 DDOS 防護的方法是什麼?十多年來,日益進化的專用DDoS防護系統已經保護了世界上最大和最苛求的網路免於遭受 DDoS 攻擊。保護你的資源免於遭受現代 DDoS 攻擊的最好方式是實現一個特別構建的、多層部署的 DDoS 攻擊緩解解決方案。

你會需要雲保護以阻止今天的大容量攻擊,需要本地保護以防範隱身應用層攻擊,以及防範對現有有狀態基礎設施裝置如防火牆、IPS 和 ADC 的攻擊等。你會需要這些功能的組合或是其中一部分。

只有透過緊密整合、多層防禦,你才可以充分保護你的組織免於遭受各種 DDoS 攻擊。

  • 雲架構保護方案(緊密整合的、多層 DDoS 防護)

  • 可用性保護解決方案(本地部署)

  • 威脅管理系統(針對大組織的高容量本地部署解決方案)

戎騰網路的網路分流器產品向客戶提供他們自己網路的微觀檢視,結合我們的威脅智慧感知架構提供的全球網際網路流量的宏觀檢視,客戶能夠享有強大的、無與倫比的安全防護能力!


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31546517/viewspace-2212856/,如需轉載,請註明出處,否則將追究法律責任。

相關文章