Arbor Networks：DDoS防护需要“自来水厂”也需要“家用滤水器” 原创

DDoS并不是一个新鲜的话题，越来越大的流量型DDoS攻击被人所熟知，所以近几年市面上出现不少针对DDoS攻击的云清洗厂商。因为针对大流量型攻击（T级别DDoS开始出现），很少有企业有能力和资源应对此类攻击。

不过，把DDoS防护只交给云清洗厂商或上游运营商就够了吗？在不少第三方咨询和调研机构的眼里，这个答案是否定的。不管是 Gartner、IDC、Frost&Sullivan、Ovum或Infonetics，皆不约而同倡议“Layered DDoS Attack Protection”概念，即多层次防御手段。

“净水需要自来水厂还要有家用滤水器”

如果把DDoS攻击比喻为家庭净水处理，在Arbor Networks大中华区总经理金大刚看来，要很好地做好DDoS防护，即需要自来水厂净水流程还要有家用滤水器，这就是分层次的防御概念。

Arbor Networks大中华区总经理金大刚

“自来水厂的服务来洗大量污水，至少看起来干净无味，家用滤水器二次滤除杂质、重金属等有害人体健康的污染物，就是要让它达到符合人饮用的标准。”金大刚说，在流量型DDoS攻击引人注目的同时，针对安全设备的状态耗尽攻击(State Exhaustion Attack)、及网页服务的应用层攻击(Application Attack)也越来越多。黑客的攻击行为可能利用单一事件混搭多种攻击型态，例如先发动状态耗尽攻击，接着发动流量攻击。

滤水器与自来水厂，其关系好比本地防护设备、云端清洗服务。大量的“污水”即3、4层的攻击行为由云清洗服务处理，但是它们看不到7层的攻击，这也就需要家用滤水器也就是本地防护设备发挥作用。

对企业用户来说，这个防御架构也许是这样的，当本地防护设备遭遇难以自力排除的粗鲁攻击流量时，可在第一时间自动向云端清洗中心主动发送求救讯号，便于远程流量清洗中心缩短执行路由收敛等前置暖身程序，以及时展开流量过滤。亦或这两种防护手段同时兼具。

论各大DDoS防护门派

江湖中有武当、峨眉、少林，DDoS防护也分各大门派，金大刚将他们总结为三类：CDN、当地运营商/流量清洗中心、和FW/IPS/WAF/LB + DDoS安全设备。

不过在金大刚看来，CDN运用转进方式闪避DDoS侵袭，对于静态网页极具保护功效，但对于需要与后台实时联机撮合的动态网页，则相对不适用。并且CDN业者仅能协助供 HTTP或HTTPS 等相关服务，但企业的关键应用，绝不仅止于此这些类型，一旦跳脱HTTP或HTTPS，CDN 业者便爱莫能助。

对于运营商或云清洗服务来说，则无法主动侦测应用层攻击、或状态耗损攻击，很多云清洗服务商迫使用户必须绕一大段路才能接受过滤服务，难免造成延迟，损及服务质量。

谈到防火墙或IPS等设备商提供的附加防御功能，则清一色陷入相同弱点，即是背负“最大连接数限制”这个先天宿命，所以黑客只要针对此弱点穷追猛打，仅需1~2分钟，便可能瘫痪设备功能。

Arbor：张无忌or宋青书？

Arbor在DDoS防护领域独树一帜，同样是一家设备提供商，既然金大刚说到了设备的诸多“不是”，Arbor又有何不同？

金大刚接下来说的一番话，更像是一个武侠迷。张无忌如果跟宋青书两个关在山洞里面，两个谁会赢？他相信是张无忌。“张无忌的爸爸是谁？张翠山。妈妈是谁？殷素素。他的爷爷是谁？张三丰。他的外祖父是谁？白眉鹰王。那宋青书呢？他的爸爸是谁？宋远桥。他的妈妈是谁？不知道。爷爷是谁？不知道。外公是谁？不知道。”比他们的DNA，谁有优秀的血统。

金大刚说，“Arbor在DDoS防护领域学了16年了，有纯正的血统，我学的指纹，我的知识远比其他人要来得丰富得多。我们在DDoS领域收集来的指纹知识库远比其他人要多非常多，这就相当于我们的DNA。”

张无忌练就的功夫除了九阳神功还有什么？还有乾坤大挪移。“九阳神功，是Arbor优秀的DNA，就是指纹知识库。乾坤大挪移是Arbor全世界独一无二的无状态表架构，这是我们设备最大的特色。”

意味着什么？别人都有最大会话数的限制，遇到状态耗尽攻击不堪一击，那Arbor呢？Arbor有没有最大会话数的限制吗？金大刚给出的答案是“没有”。

此外，全球拥有400多家服务提供商客户和合作伙伴， 让Arbor成为市场上唯一有如此众多客户和合作伙伴群的DDoS解决方案供应商。其实现了对大约三分之一的全球互联网数据流的深度分析，使Arbor能够对驱动全球DDOS活动的物联网僵尸网络进行独特的深度分析。

当然，不得不说，Arbor的设备在业界来说是相对是比较贵的，不过金大刚强调，“买设备不是应该只挑便宜的，应该要挑谁最有效。”