DDoS攻擊因其廉價的攻擊成本已然成為嚴重的安全挑戰(zhàn)。在IDC的分析報告中,全球DDoS防護市場規(guī)模從2011年到2017年的年均復合增長率達到18.2%。
利用僵尸網絡發(fā)起的DDoS攻擊依然占網絡攻擊事件的絕大多數,除了大流量攻擊外,應用層的小流量、慢速DDoS攻擊越來越普遍。隨著移動化的普及,移動終端也正在成為DDoS的攻擊源,并且可以預測,針對IPv4和IPv6的網絡及應用的混合攻擊會在未來幾年內成為新型的DDoS攻擊威脅。
眾所周知,電信運營商面臨著逐漸增大的管道壓力,流量增長迅猛。在大流量的背后,運營商還面臨著DDoS攻擊的困境。上海聯(lián)通城域網資深架構師陳強在近日的華為網絡大會上就指出,龐大的僵尸網絡群體導致DDoS攻擊一觸即發(fā)。運營商面臨著業(yè)務可能中斷、客戶投訴增多和較高的運營維護成本等一系列難題。
陳強在接受媒體采訪時指出,“在上海聯(lián)通遭遇的DDoS攻擊中,最大的攻擊流量已經超過了20G。2013年共探測到DDoS攻擊11萬余次,累計清洗流量超過了10萬G。”
并且,每年的攻擊規(guī)模和次數還呈增長趨勢,陳強認為,這對上海聯(lián)通來說挑戰(zhàn)巨大。
借助國外運營商的經驗,上海聯(lián)通在幾年前開始發(fā)展安全運營業(yè)務,2008年引入DDoS防護系統(tǒng),逐漸完善成為互聯(lián)網流量安全運營解決方案,包括DDoS防護運營方案和流量經營運營方案。
陳強介紹了上海聯(lián)通安全運營系統(tǒng)的整體架構,“華為SIG產品做城域網用戶行為分析,可實現(xiàn)基于用戶的精準識別和管控,熱點分析和精準營銷。AntiDDoS8000做DDoS異常流量清洗,可精確防御應用型攻擊,且清洗響應速度快。并在城域網內通過Netflow進行全網流量分析,ATIC管理系統(tǒng)能夠同Netflow、SIG實現(xiàn)統(tǒng)一的調度和管理。”
上海聯(lián)通DDoS安全運營目前面向VIP用戶、IDC用戶和金牌/銀牌用戶提供安全增值服務,提供了五大DDoS安全運營服務內容,包括實時檢測/實時防護,短信/郵件告警,用戶自助平臺,抓包與攻擊取證/追蹤與溯源,和攻防演練服務。
在用戶側,上海聯(lián)通DDoS安全服務也獲得了較高的評價,陳強說,2013年上海聯(lián)通曾為某VIP銀行客戶提供每年的DDoS攻防演練服務,客戶在測試過程中采用2G流量中混雜有2M的攻擊流量,華為的AntiDDoS方案成功且精準地清洗掉了攻擊流量。
據介紹,目前上海聯(lián)通的DDoS系統(tǒng)具備70G的防護能力,在攻擊流量增長的趨勢下,“2014年,上海聯(lián)通規(guī)劃把這個能力提升一倍,年內由70G清洗能力提升至140G到150G。并且考慮VIP用戶的高價值,將優(yōu)化它們的獨享清洗服務,跟公共清洗空間進行分離。”
在DDoS攻擊的大流量攻擊方面,華為也不斷升級其產品方案。華為企業(yè)網絡產品線副總裁,防火墻領域總經理劉立柱介紹說,一是從本身的硬件設備上不斷提升處理能力,二是在解決方案上逐漸轉向SDN感知的方式,在攻擊源頭上實現(xiàn)動態(tài)分布式的DDoS防御。同時,華為也在跟運營商探討合作,實現(xiàn)基于客戶私有云的DDoS防御方式。
京公網安備 11010502049343號