您當前位置:首頁 > 資訊中心 > 信息安全

流量清理如何抵御DDoS攻擊

  在2018年2月,世界上最大的分布式拒絕服務(DDoS)攻擊在發起20分鐘內得到控制,這主要得益于事先部署的DDoS防護服務。
 
  這次攻擊是針對GitHub–數百萬開發人員使用的主流在線代碼管理服務,GitHub遭受1.3Tbps的傳入流量攻擊,并受到每秒1.269億的數據包轟炸。在攻擊發生的10分鐘內,GitHub拉響警報并將其流量路由到其DDoS緩解服務Akamai Prolexic,后者整理并阻止了惡意流量。
 
  GitHub并不是唯一的DDoS攻擊受害者,現在DDoS攻擊的強度越來越大,同時也越來越復雜。F5 Networks公司亞太區安全專家Shahnawaz Backer表示,根據F5的數據來看,自2017年以來,亞太地區企業也開始遭遇DDoS攻擊,攻擊速度幾乎與北美企業遭遇的攻擊相同,這種攻擊歷來非常有針對性。
 
  另外,東盟國家的企業也沒有幸免。根據Frost&Sullivan的數據,針對東盟的DDoS攻擊有顯著增長,占亞太地區市場的20%。
 
  現在,越來越多的企業開始投資于DDoS解決方案,尤其是基于云的DDoS緩解服務,并逐漸遠離以服務提供商為中心的市場。
 
  DDoS攻擊是企業可能面臨的最復雜的威脅之一。在DDoS攻擊中,個體黑客、組織型犯罪團伙或國家行為者的目標是淹沒企業網絡、網站或網絡組件,例如路由器。因此,企業必須確定流量高峰是合法流量還是攻擊。
 
  IDC公司亞太地區業務和IT服務研究集團高級市場分析師Sherrel Roche表示:“如果沒有對基線和歷史流量趨勢的充分了解,企業就不可能及時發現攻擊,導致嚴重后果。”
 
  Landbank銀行是菲律賓最大的國有銀行,該銀行已采取措施部署F5的BIG-IP本地流量管理器,以更好地了解其應用程序流量和性能,以及在客戶數據進入和離開應用時充分了解客戶數據。這使其安全團隊能夠在發現欺詐交易后立即對其進行檢查、管理和報告。
 
  除此之外,他們還有內部部署的應用程序級7層網絡DDoS緩解服務,以確保關鍵任務應用程序免受針對應用程序的攻擊。
 
  而在攻擊者這一邊,攻擊者可相對簡單地使用隨時可用的DDoS租用服務發起DDoS攻擊,即使是技術很差或沒有技術技能的人也可能發起破壞性攻擊。
 
  Akamai Technologies亞太地區安全技術和戰略主管Fernando Serto表示,曾經在Steam游戲發行平臺和IRC(互聯網中繼聊天)的聊天室組織過這樣的攻擊,很多參與成員使用下載的工具,產生超過170Gbps的流量。其中還包括一位12歲開發人員的YouTube教程。
 
  DDoS的部分挑戰在于這些攻擊的復雜性。DDoS攻擊不僅有多種類別攻擊方法,而且每個類別都有很多不同的攻擊方式。攻擊者還可以使用幾種不同的攻擊向量攻擊相同的目標。
 
  最重要的是,有些攻擊很難被發現。其中一種值得注意的攻擊,它會通過一系列突發(持續幾分鐘)來淹沒目標的DNS(域名系統)服務器,而不是通過持續的攻擊。
 
  Serto稱:“這會導致抵御方疲勞,因為這些突發流量會涌入很長一段時間,因此,對這些類型的攻擊進行檢測變得非常困難,更不用說緩解。”
 
  DDoS攻擊與其他網絡攻擊不同,后者可通過修復補丁和本地安裝的安全設備得以完全阻止。Gartner公司高級分析師Rajpreet
 
  Kaur說,對拒絕服務的防御計算是不同的,因為任何企業都無法靠自己防御或阻止所有DDoS攻擊。
 
  然而,投資DDoS保護的決定并不容易,由于DDoS緩解是一項昂貴的投資,除非企業或其競爭對手遭受攻擊,否則企業不會輕易考慮這項投資。
 
  Kaur稱:“跨國公司和全球公司可能會投資于DDoS防護解決方案,但高昂的成本可能會阻止較小的本地公司。”
 
  Frost&Sullivan公司網絡安全高級行業分析師Vu Anh Tien表示,隨著企業將應用程序和基礎架構遷移到云端,IT基礎架構變得越來越復雜,這需要DDoS解決方案來滿足不同的環境需求。
 
  清理干凈
 
  在2018年2月,GitHub應對大規模攻擊依靠的是清理服務,這是一種常見的DDoS緩解技術。通過使用此方法,發往特定IP地址范圍的流量將重定向到清理數據中心,其中攻擊流量將得到“清理”或清洗。然后,只有干凈的流量才會轉發到目標目的地。
 
  Gartner公司的Kaur說,大多數DDoS清洗提供商都有三到七個清理中心,通常分布在全球各地。每個中心都包含DDoS緩解設備和大量帶寬,這些帶寬可能超過350Gbps。當客戶受到攻擊時,他們只要“按下按鈕”將所有流量重定向到最近的清理中心即可。
 
  企業客戶可通過兩種方式利用清理中心:一種是全天候通過清理中心路由流量,而另一種則是在發生攻擊時按需路由流量。
 
  鑒于安全攻擊和IT基礎架構的復雜性,企業越來越多地開始采用混合保護模型,以抵御最廣泛的潛在攻擊媒介。Backer稱,他們通常以內部部署系統作為第一道防線,當內部部署技術不堪重負時,便會利用清理中心。
 
  IDC公司Roche補充道:“為了無縫地(以減少停機時間)將不良流量轉移到清理中心,企業需要在云端和本地解決方案之間實現無縫集成,以在攻擊到達核心網絡資產和數據前緩解攻擊。”
 
  清理中心主要用于保護客戶環境中的基礎設施,例如DNS服務器、郵件中繼和其他基于IP的應用程序,同時,企業也會轉向基于內容分發網絡(CDN)的DDoS緩解服務來保護網絡和移動應用程序,以及很多物聯網(IoT)應用程序的應用程序編程接口(API)流量。
 
  Akamai的Serto說:“基于CDN的方法還將保護應用程序免受應用程序層攻擊,例如SQL注入、跨站腳本攻擊和遠程文件包含攻擊,以及憑據濫用攻擊–使用機器人進行自動化。”
 
  Gartner公司的Kaur表示,盡管大多數清理服務提供商都提供強大的DDoS緩解功能,但企業應對提供商進行評估,包括其基礎架構容量、服務水平、經驗和定價等。
 
  Kaur說:“企業需要在不同層級部署多種拒絕服務防御措施,不僅僅是購買單一安全產品或選擇單一服務提供商。全面的解決方案需要考慮云清理中心、CDN、DNS保護、邊緣和應用DDoS設備。”

第二十八屆CIO班招生
法國布雷斯特商學院MBA班招生
法國布雷斯特商學院碩士班招生
法國布雷斯特商學院DBA班招生
作者:grabsun - 發布時間:2019-02-20 - 點擊量:2083
公司簡介:大勢至公司是國內較早的企業網管軟件提供商,可以為企事業單位提供整體的企業網絡管理方案和企業網絡管理平臺,通過全系列的公司監控員工電腦軟件教你如何控制員工上網、如何控制局域網內電腦上網以及如何保護電腦文件安全等。公司核心產品“聚生網管系統”是一款專門的公司網管必備軟件、查看網絡流量軟件、網絡流量監控軟件和辦公室電腦監控軟件;“網絡特警”則是一款專門的網絡流量監控設備、上網行為管理服務器、網絡行為管理設備,可以實現更為強大的局域網網絡行為管理;大勢至USB接口禁用軟件則是一款專門的數據防泄密產品、屏蔽U盤軟件、電腦USB端口禁用軟件,可以嚴防通過一切途徑泄露電腦文件,保護單位無形資產和商業機密安全;大勢至共享文件夾管理軟件則是一款專門的共享文件權限設置軟件和共享文件設置密碼軟件,全面保護共享文件安全;大勢至共享文件審計系統則是一款專門的服務器共享文件夾設置軟件、服務器共享文件訪問日志記錄軟件,可以詳細記錄局域網用戶訪問共享文件的行為,更好地管理共享文件的安全;大勢至局域網網絡準入控制系統則是一款專門防止未經授權的電腦接入公司局域網的行為,防止外來電腦訪問局域網共享文件、防止蹭網以及綁定IP和MAC地址,保護網絡安全;大勢至FTP服務器日志記錄軟件則是一款專門記錄局域網用戶訪問FTP服務器日志的軟件,可以有效保護FTP服務器文件安全。
收縮

售前咨詢

  • 電話:010-82825512
  • 電話:010-82825051
  • 電話:010-82825052
  • 電話:010-62656060

技術支持

  • 電話:010-82825062
白姐大型六合图库