Arbor Networks:DDoS防护需要“自来水厂”也需要“家用滤水器” 原创

把DDoS防护只交给云清洗厂商或上游运营商就够了吗?在不少第三方咨询和调研机构的眼里,这个答案是否定的。不管是 Gartner、IDC、Frost&Sullivan、Ovum或Infonetics,皆不约而同倡议“Layered DDoS Attack Protection”概念,即多层次防御手段。

DDoS并不是一个新鲜的话题,越来越大的流量型DDoS攻击被人所熟知,所以近几年市面上出现不少针对DDoS攻击的云清洗厂商。因为针对大流量型攻击(T级别DDoS开始出现),很少有企业有能力和资源应对此类攻击。

不过,把DDoS防护只交给云清洗厂商或上游运营商就够了吗?在不少第三方咨询和调研机构的眼里,这个答案是否定的。不管是 Gartner、IDC、Frost&Sullivan、Ovum或Infonetics,皆不约而同倡议“Layered DDoS Attack Protection”概念,即多层次防御手段。

“净水需要自来水厂还要有家用滤水器”

如果把DDoS攻击比喻为家庭净水处理,在Arbor Networks大中华区总经理金大刚看来,要很好地做好DDoS防护,即需要自来水厂净水流程还要有家用滤水器,这就是分层次的防御概念。

Arbor:DDoS防护需要“自来水厂”也需要“家用滤水器”

Arbor Networks大中华区总经理金大刚

“自来水厂的服务来洗大量污水,至少看起来干净无味,家用滤水器二次滤除杂质、重金属等有害人体健康的污染物,就是要让它达到符合人饮用的标准。”金大刚说,在流量型DDoS攻击引人注目的同时,针对安全设备的状态耗尽攻击(State Exhaustion Attack)、及网页服务的应用层攻击(Application Attack)也越来越多。黑客的攻击行为可能利用单一事件混搭多种攻击型态,例如先发动状态耗尽攻击,接着发动流量攻击。

Arbor:DDoS防护需要“自来水厂”也需要“家用滤水器”

滤水器与自来水厂,其关系好比本地防护设备、云端清洗服务。大量的“污水”即3、4层的攻击行为由云清洗服务处理,但是它们看不到7层的攻击,这也就需要家用滤水器也就是本地防护设备发挥作用。

Arbor:DDoS防护需要“自来水厂”也需要“家用滤水器”

对企业用户来说,这个防御架构也许是这样的,当本地防护设备遭遇难以自力排除的粗鲁攻击流量时,可在第一时间自动向云端清洗中心主动发送求救讯号,便于远程流量清洗中心缩短执行路由收敛等前置暖身程序,以及时展开流量过滤。亦或这两种防护手段同时兼具。

论各大DDoS防护门派

江湖中有武当、峨眉、少林,DDoS防护也分各大门派,金大刚将他们总结为三类:CDN、当地运营商/流量清洗中心、和FW/IPS/WAF/LB + DDoS安全设备。

Arbor:DDoS防护需要“自来水厂”也需要“家用滤水器”

不过在金大刚看来,CDN运用转进方式闪避DDoS侵袭,对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用。并且CDN业者仅能协助供 HTTP或HTTPS 等相关服务,但企业的关键应用,绝不仅止于此这些类型,一旦跳脱HTTP或HTTPS,CDN 业者便爱莫能助。

对于运营商或云清洗服务来说,则无法主动侦测应用层攻击、或状态耗损攻击,很多云清洗服务商迫使用户必须绕一大段路才能接受过滤服务,难免造成延迟,损及服务质量。

谈到防火墙或IPS等设备商提供的附加防御功能,则清一色陷入相同弱点,即是背负“最大连接数限制”这个先天宿命,所以黑客只要针对此弱点穷追猛打,仅需1~2分钟,便可能瘫痪设备功能。

Arbor:张无忌or宋青书?

Arbor在DDoS防护领域独树一帜,同样是一家设备提供商,既然金大刚说到了设备的诸多“不是”,Arbor又有何不同?

金大刚接下来说的一番话,更像是一个武侠迷。张无忌如果跟宋青书两个关在山洞里面,两个谁会赢?他相信是张无忌。“张无忌的爸爸是谁?张翠山。妈妈是谁?殷素素。他的爷爷是谁?张三丰。他的外祖父是谁?白眉鹰王。那宋青书呢?他的爸爸是谁?宋远桥。他的妈妈是谁?不知道。爷爷是谁?不知道。外公是谁?不知道。”比他们的DNA,谁有优秀的血统。

金大刚说,“Arbor在DDoS防护领域学了16年了,有纯正的血统,我学的指纹,我的知识远比其他人要来得丰富得多。我们在DDoS领域收集来的指纹知识库远比其他人要多非常多,这就相当于我们的DNA。”

张无忌练就的功夫除了九阳神功还有什么?还有乾坤大挪移。“九阳神功,是Arbor优秀的DNA,就是指纹知识库。乾坤大挪移是Arbor全世界独一无二的无状态表架构,这是我们设备最大的特色。”

意味着什么?别人都有最大会话数的限制,遇到状态耗尽攻击不堪一击,那Arbor呢?Arbor有没有最大会话数的限制吗?金大刚给出的答案是“没有”。

此外,全球拥有400多家服务提供商客户和合作伙伴, 让Arbor成为市场上唯一有如此众多客户和合作伙伴群的DDoS解决方案供应商。其实现了对大约三分之一的全球互联网数据流的深度分析,使Arbor能够对驱动全球DDOS活动的物联网僵尸网络进行独特的深度分析。

当然,不得不说,Arbor的设备在业界来说是相对是比较贵的,不过金大刚强调,“买设备不是应该只挑便宜的,应该要挑谁最有效。”

Arbor:DDoS防护需要“自来水厂”也需要“家用滤水器”

来源:至顶网安全频道

0赞

好文章,需要你的鼓励

2017

10/16

10:20

分享

点赞

邮件订阅
白皮书