DDoS并不是一个新鲜的话题,越来越大的流量型DDoS攻击被人所熟知,所以近几年市面上出现不少针对DDoS攻击的云清洗厂商。因为针对大流量型攻击(T级别DDoS开始出现),很少有企业有能力和资源应对此类攻击。
不过,把DDoS防护只交给云清洗厂商或上游运营商就够了吗?在不少第三方咨询和调研机构的眼里,这个答案是否定的。不管是 Gartner、IDC、Frost&Sullivan、Ovum或Infonetics,皆不约而同倡议“Layered DDoS Attack Protection”概念,即多层次防御手段。
“净水需要自来水厂还要有家用滤水器”
如果把DDoS攻击比喻为家庭净水处理,在Arbor Networks大中华区总经理金大刚看来,要很好地做好DDoS防护,即需要自来水厂净水流程还要有家用滤水器,这就是分层次的防御概念。
Arbor Networks大中华区总经理金大刚
“自来水厂的服务来洗大量污水,至少看起来干净无味,家用滤水器二次滤除杂质、重金属等有害人体健康的污染物,就是要让它达到符合人饮用的标准。”金大刚说,在流量型DDoS攻击引人注目的同时,针对安全设备的状态耗尽攻击(State Exhaustion Attack)、及网页服务的应用层攻击(Application Attack)也越来越多。黑客的攻击行为可能利用单一事件混搭多种攻击型态,例如先发动状态耗尽攻击,接着发动流量攻击。
滤水器与自来水厂,其关系好比本地防护设备、云端清洗服务。大量的“污水”即3、4层的攻击行为由云清洗服务处理,但是它们看不到7层的攻击,这也就需要家用滤水器也就是本地防护设备发挥作用。
对企业用户来说,这个防御架构也许是这样的,当本地防护设备遭遇难以自力排除的粗鲁攻击流量时,可在第一时间自动向云端清洗中心主动发送求救讯号,便于远程流量清洗中心缩短执行路由收敛等前置暖身程序,以及时展开流量过滤。亦或这两种防护手段同时兼具。
论各大DDoS防护门派
江湖中有武当、峨眉、少林,DDoS防护也分各大门派,金大刚将他们总结为三类:CDN、当地运营商/流量清洗中心、和FW/IPS/WAF/LB + DDoS安全设备。
不过在金大刚看来,CDN运用转进方式闪避DDoS侵袭,对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用。并且CDN业者仅能协助供 HTTP或HTTPS 等相关服务,但企业的关键应用,绝不仅止于此这些类型,一旦跳脱HTTP或HTTPS,CDN 业者便爱莫能助。
对于运营商或云清洗服务来说,则无法主动侦测应用层攻击、或状态耗损攻击,很多云清洗服务商迫使用户必须绕一大段路才能接受过滤服务,难免造成延迟,损及服务质量。
谈到防火墙或IPS等设备商提供的附加防御功能,则清一色陷入相同弱点,即是背负“最大连接数限制”这个先天宿命,所以黑客只要针对此弱点穷追猛打,仅需1~2分钟,便可能瘫痪设备功能。
Arbor:张无忌or宋青书?
Arbor在DDoS防护领域独树一帜,同样是一家设备提供商,既然金大刚说到了设备的诸多“不是”,Arbor又有何不同?
金大刚接下来说的一番话,更像是一个武侠迷。张无忌如果跟宋青书两个关在山洞里面,两个谁会赢?他相信是张无忌。“张无忌的爸爸是谁?张翠山。妈妈是谁?殷素素。他的爷爷是谁?张三丰。他的外祖父是谁?白眉鹰王。那宋青书呢?他的爸爸是谁?宋远桥。他的妈妈是谁?不知道。爷爷是谁?不知道。外公是谁?不知道。”比他们的DNA,谁有优秀的血统。
金大刚说,“Arbor在DDoS防护领域学了16年了,有纯正的血统,我学的指纹,我的知识远比其他人要来得丰富得多。我们在DDoS领域收集来的指纹知识库远比其他人要多非常多,这就相当于我们的DNA。”
张无忌练就的功夫除了九阳神功还有什么?还有乾坤大挪移。“九阳神功,是Arbor优秀的DNA,就是指纹知识库。乾坤大挪移是Arbor全世界独一无二的无状态表架构,这是我们设备最大的特色。”
意味着什么?别人都有最大会话数的限制,遇到状态耗尽攻击不堪一击,那Arbor呢?Arbor有没有最大会话数的限制吗?金大刚给出的答案是“没有”。
此外,全球拥有400多家服务提供商客户和合作伙伴, 让Arbor成为市场上唯一有如此众多客户和合作伙伴群的DDoS解决方案供应商。其实现了对大约三分之一的全球互联网数据流的深度分析,使Arbor能够对驱动全球DDOS活动的物联网僵尸网络进行独特的深度分析。
当然,不得不说,Arbor的设备在业界来说是相对是比较贵的,不过金大刚强调,“买设备不是应该只挑便宜的,应该要挑谁最有效。”
好文章,需要你的鼓励
本文评测了六款控制台平铺终端复用器工具。GNU Screen作为老牌工具功能强大但操作复杂,Tmux更现代化但学习曲线陡峭,Byobu为前两者提供友好界面,Zellij用Rust编写界面简洁易用,DVTM追求极简主义,Twin提供类似TurboVision的文本界面环境。每款工具都有各自特点和适用场景。
纽约大学研究团队通过INT-ACT测试套件全面评估了当前先进的视觉-语言-动作机器人模型,发现了一个普遍存在的"意图-行动差距"问题:机器人能够正确理解任务和识别物体,但在实际动作执行时频频失败。研究还揭示了端到端训练会损害原有语言理解能力,以及多模态挑战下的推理脆弱性,为未来机器人技术发展提供了重要指导。
网络安全公司Snyk宣布收购瑞士人工智能安全研究公司Invariant Labs,收购金额未公开。Invariant Labs从苏黎世联邦理工学院分拆成立,专注于帮助开发者构建安全可靠的AI代理工具和框架。该公司提供Explorer运行时观察仪表板、Gateway轻量级代理、Guardrails策略引擎等产品,并在工具中毒和模型上下文协议漏洞等新兴AI威胁防护方面处于领先地位。此次收购将推进Snyk保护下一代AI原生应用的使命。
北卡罗来纳大学教堂山分校研究团队提出MEXA框架,通过动态选择和聚合多个专业AI模型来处理复杂的多模态推理任务。该方法无需额外训练,在视频理解、音频分析、3D场景理解和医学诊断等多个基准测试中显著超越现有模型,为AI系统设计提供了新思路。