506
Arbor Networks:DDoS防護需要“自來水廠”也需要“家用濾水器”
DDoS並不是一個新鮮的話題,越來越大的流量型DDoS攻擊被人所熟知,所以近幾年市麵上出現不少針對DDoS攻擊的雲清洗廠商。因為針對大流量型攻擊(T級別DDoS開始出現),很少有企業有能力和資源應對此類攻擊。
不過,把DDoS防護隻交給雲清洗廠商或上遊運營商就夠了嗎?在不少第三方谘詢和調研機構的眼裏,這個答案是否定的。不管是 Gartner、IDC、Frost&Sullivan、Ovum或Infonetics,皆不約而同倡議“Layered DDoS Attack Protection”概念,即多層次防禦手段。
“淨水需要自來水廠還要有家用濾水器”
如果把DDoS攻擊比喻為家庭淨水處理,在Arbor Networks大中華區總經理金大剛看來,要很好地做好DDoS防護,即需要自來水廠淨水流程還要有家用濾水器,這就是分層次的防禦概念。
Arbor Networks大中華區總經理金大剛
“自來水廠的服務來洗大量汙水,至少看起來幹淨無味,家用濾水器二次濾除雜質、重金屬等有害人體健康的汙染物,就是要讓它達到符合人飲用的標準。”金大剛說,在流量型DDoS攻擊引人注目的同時,針對安全設備的狀態耗盡攻擊(State Exhaustion Attack)、及網頁服務的應用層攻擊(Application Attack)也越來越多。黑客的攻擊行為可能利用單一事件混搭多種攻擊型態,例如先發動狀態耗盡攻擊,接著發動流量攻擊。
濾水器與自來水廠,其關係好比本地防護設備、雲端清洗服務。大量的“汙水”即3、4層的攻擊行為由雲清洗服務處理,但是它們看不到7層的攻擊,這也就需要家用濾水器也就是本地防護設備發揮作用。
對企業用戶來說,這個防禦架構也許是這樣的,當本地防護設備遭遇難以自力排除的粗魯攻擊流量時,可在第一時間自動向雲端清洗中心主動發送求救訊號,便於遠程流量清洗中心縮短執行路由收斂等前置暖身程序,以及時展開流量過濾。亦或這兩種防護手段同時兼具。
論各大DDoS防護門派
江湖中有武當、峨眉、少林,DDoS防護也分各大門派,金大剛將他們總結為三類:CDN、當地運營商/流量清洗中心、和FW/IPS/WAF/LB + DDoS安全設備。
不過在金大剛看來,CDN運用轉進方式閃避DDoS侵襲,對於靜態網頁極具保護功效,但對於需要與後台實時聯機撮合的動態網頁,則相對不適用。並且CDN業者僅能協助供 HTTP或HTTPS 等相關服務,但企業的關鍵應用,絕不僅止於此這些類型,一旦跳脫HTTP或HTTPS,CDN 業者便愛莫能助。
對於運營商或雲清洗服務來說,則無法主動偵測應用層攻擊、或狀態耗損攻擊,很多雲清洗服務商迫使用戶必須繞一大段路才能接受過濾服務,難免造成延遲,損及服務質量。
談到防火牆或IPS等設備商提供的附加防禦功能,則清一色陷入相同弱點,即是背負“最大連接數限製”這個先天宿命,所以黑客隻要針對此弱點窮追勐打,僅需1~2分鍾,便可能癱瘓設備功能。
Arbor:張無忌or宋青書?
Arbor在DDoS防護領域獨樹一幟,同樣是一家設備提供商,既然金大剛說到了設備的諸多“不是”,Arbor又有何不同?
金大剛接下來說的一番話,更像是一個武俠迷。張無忌如果跟宋青書兩個關在山洞裏麵,兩個誰會贏?他相信是張無忌。“張無忌的爸爸是誰?張翠山。媽媽是誰?殷素素。他的爺爺是誰?張三豐。他的外祖父是誰?白眉鷹王。那宋青書呢?他的爸爸是誰?宋遠橋。他的媽媽是誰?不知道。爺爺是誰?不知道。外公是誰?不知道。”比他們的DNA,誰有優秀的血統。
金大剛說,“Arbor在DDoS防護領域學了16年了,有純正的血統,我學的指紋,我的知識遠比其他人要來得豐富得多。我們在DDoS領域收集來的指紋知識庫遠比其他人要多非常多,這就相當於我們的DNA。”
張無忌練就的功夫除了九陽神功還有什麼?還有乾坤大挪移。“九陽神功,是Arbor優秀的DNA,就是指紋知識庫。乾坤大挪移是Arbor全世界獨一無二的無狀態表架構,這是我們設備最大的特色。”
意味著什麼?別人都有最大會話數的限製,遇到狀態耗盡攻擊不堪一擊,那Arbor呢?Arbor有沒有最大會話數的限製嗎?金大剛給出的答案是“沒有”。
此外,全球擁有400多家服務提供商客戶和合作夥伴, 讓Arbor成為市場上唯一有如此眾多客戶和合作夥伴群的DDoS解決方案供應商。其實現了對大約三分之一的全球互聯網數據流的深度分析,使Arbor能夠對驅動全球DDOS活動的物聯網僵屍網絡進行獨特的深度分析。
當然,不得不說,Arbor的設備在業界來說是相對是比較貴的,不過金大剛強調,“買設備不是應該隻挑便宜的,應該要挑誰最有效。”
原文發布時間為: 2017年10月16日
本文作者:陳廣成
本文來自雲棲社區合作夥伴至頂網,了解相關信息可以關注至頂網。
最後更新:2017-11-15 17:04:53