DDoS并不是一个新鲜的话题,越来越大的流量型DDoS攻击被人所熟知,所以近几年市面上出现不少针对DDoS攻击的云清洗厂商。因为针对大流量型攻击(T级别DDoS开始出现),很少有企业有能力和资源应对此类攻击。
不过,把DDoS防护只交给云清洗厂商或上游运营商就够了吗?在不少第三方咨询和调研机构的眼里,这个答案是否定的。不管是 Gartner、IDC、Frost&Sullivan、Ovum或Infonetics,皆不约而同倡议“Layered DDoS Attack Protection”概念,即多层次防御手段。
“净水需要自来水厂还要有家用滤水器”
如果把DDoS攻击比喻为家庭净水处理,在Arbor Networks大中华区总经理金大刚看来,要很好地做好DDoS防护,即需要自来水厂净水流程还要有家用滤水器,这就是分层次的防御概念。
Arbor Networks大中华区总经理金大刚
“自来水厂的服务来洗大量污水,至少看起来干净无味,家用滤水器二次滤除杂质、重金属等有害人体健康的污染物,就是要让它达到符合人饮用的标准。”金大刚说,在流量型DDoS攻击引人注目的同时,针对安全设备的状态耗尽攻击(State Exhaustion Attack)、及网页服务的应用层攻击(Application Attack)也越来越多。黑客的攻击行为可能利用单一事件混搭多种攻击型态,例如先发动状态耗尽攻击,接着发动流量攻击。
滤水器与自来水厂,其关系好比本地防护设备、云端清洗服务。大量的“污水”即3、4层的攻击行为由云清洗服务处理,但是它们看不到7层的攻击,这也就需要家用滤水器也就是本地防护设备发挥作用。
对企业用户来说,这个防御架构也许是这样的,当本地防护设备遭遇难以自力排除的粗鲁攻击流量时,可在第一时间自动向云端清洗中心主动发送求救讯号,便于远程流量清洗中心缩短执行路由收敛等前置暖身程序,以及时展开流量过滤。亦或这两种防护手段同时兼具。
论各大DDoS防护门派
江湖中有武当、峨眉、少林,DDoS防护也分各大门派,金大刚将他们总结为三类:CDN、当地运营商/流量清洗中心、和FW/IPS/WAF/LB + DDoS安全设备。
不过在金大刚看来,CDN运用转进方式闪避DDoS侵袭,对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用。并且CDN业者仅能协助供 HTTP或HTTPS 等相关服务,但企业的关键应用,绝不仅止于此这些类型,一旦跳脱HTTP或HTTPS,CDN 业者便爱莫能助。
对于运营商或云清洗服务来说,则无法主动侦测应用层攻击、或状态耗损攻击,很多云清洗服务商迫使用户必须绕一大段路才能接受过滤服务,难免造成延迟,损及服务质量。
谈到防火墙或IPS等设备商提供的附加防御功能,则清一色陷入相同弱点,即是背负“最大连接数限制”这个先天宿命,所以黑客只要针对此弱点穷追猛打,仅需1~2分钟,便可能瘫痪设备功能。
Arbor:张无忌or宋青书?
Arbor在DDoS防护领域独树一帜,同样是一家设备提供商,既然金大刚说到了设备的诸多“不是”,Arbor又有何不同?
金大刚接下来说的一番话,更像是一个武侠迷。张无忌如果跟宋青书两个关在山洞里面,两个谁会赢?他相信是张无忌。“张无忌的爸爸是谁?张翠山。妈妈是谁?殷素素。他的爷爷是谁?张三丰。他的外祖父是谁?白眉鹰王。那宋青书呢?他的爸爸是谁?宋远桥。他的妈妈是谁?不知道。爷爷是谁?不知道。外公是谁?不知道。”比他们的DNA,谁有优秀的血统。
金大刚说,“Arbor在DDoS防护领域学了16年了,有纯正的血统,我学的指纹,我的知识远比其他人要来得丰富得多。我们在DDoS领域收集来的指纹知识库远比其他人要多非常多,这就相当于我们的DNA。”
张无忌练就的功夫除了九阳神功还有什么?还有乾坤大挪移。“九阳神功,是Arbor优秀的DNA,就是指纹知识库。乾坤大挪移是Arbor全世界独一无二的无状态表架构,这是我们设备最大的特色。”
意味着什么?别人都有最大会话数的限制,遇到状态耗尽攻击不堪一击,那Arbor呢?Arbor有没有最大会话数的限制吗?金大刚给出的答案是“没有”。
此外,全球拥有400多家服务提供商客户和合作伙伴, 让Arbor成为市场上唯一有如此众多客户和合作伙伴群的DDoS解决方案供应商。其实现了对大约三分之一的全球互联网数据流的深度分析,使Arbor能够对驱动全球DDOS活动的物联网僵尸网络进行独特的深度分析。
当然,不得不说,Arbor的设备在业界来说是相对是比较贵的,不过金大刚强调,“买设备不是应该只挑便宜的,应该要挑谁最有效。”
好文章,需要你的鼓励
TechCrunch Disrupt 2025 AI舞台将汇聚塑造科技未来的领军人物,顶尖风投将揭示在快速变化的AI领域获得融资的关键。来自Apptronik、ElevenLabs、Hugging Face、Runway等创新企业的领导者将分享前沿洞见,探讨AI如何重塑创意过程、改变物理世界、变革国防安全和重新定义人际关系。10月27-29日,五大主题舞台将在旧金山呈现科技创新的未来图景。
西班牙研究团队提出了一种创新的AI自我纠错方法SSC,让人工智能学会识别和修正规则中的漏洞。当AI发现自己在钻空子获得高分时,它会反思规则的合理性并主动改进。实验显示这种方法将AI的"钻空子"行为从50-70%降低到3%以下,同时提升了回答质量。这项技术有望让AI从被动执行指令转变为能够质疑和改进指令的智能协作伙伴。
英超联赛与微软达成五年战略合作伙伴关系,推出AI驱动的Premier League Companion服务,为全球球迷提供个性化体验。该服务利用Azure OpenAI技术,整合30多个赛季的统计数据、30万篇文章和9000个视频,帮助球迷发现和了解更多内容。未来还将为Fantasy Premier League引入个人助理经理功能,并通过Azure AI优化比赛直播体验和赛后分析。
这篇文章详细解析了Long、Shelhamer和Darrell在2015年CVPR会议上发表的开创性研究"全卷积网络用于语义分割"。文章以通俗易懂的方式,将这项复杂的技术比作艺术家的绘画过程,解释了如何让计算机不仅识别图像中有什么物体,还能精确标出每个物体的位置和边界。研究团队通过将传统分类网络改造为全卷积形式,并巧妙运用上采样和跳跃连接技术,实现了高效准确的像素级图像理解。这一突破为自动驾驶、医学影像和增强现实等领域带来了革命性变化,奠定了现代计算机视觉的重要基础。