DDoS攻擊從未消沉過,近兩年來,雖然針對企業(yè)以經(jīng)濟(jì)利益為目的的高級可持續(xù)性攻擊越來越多,而企業(yè)也越來越難以防范。但作為一種易于開展又為害甚重的攻擊手段,DDoS攻擊也成為如今困擾企業(yè)的難題之一。
DDoS攻擊全稱分布式拒絕服務(wù)攻擊,攻擊者大都以癱瘓對方的服務(wù)為直接目的,以耗盡網(wǎng)絡(luò)設(shè)施(服務(wù)器、防火墻、IPS、路由器)性能為手段,利用網(wǎng)絡(luò)中分布的傀儡主機(jī)向目標(biāo)設(shè)施發(fā)送惡意攻擊流量。由于傀儡主機(jī)數(shù)量巨大,所以DDoS 攻擊產(chǎn)生的流量經(jīng)常會達(dá)到服務(wù)器甚至是電信級網(wǎng)絡(luò)設(shè)備的性能上限。同時由于傀儡主機(jī)呈現(xiàn)多地區(qū)分布的特點(diǎn),導(dǎo)致攻擊難以溯源,無法準(zhǔn)確防范。而其簡單的工作原理和攻擊方式導(dǎo)致大量的不法之徒可以輕易的掌握某種DDoS攻擊技術(shù)。
華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線首席安全架構(gòu)師錢曉斌認(rèn)為,企業(yè)目前在安全和風(fēng)險管理上面臨著幾個嚴(yán)重的挑戰(zhàn),首先是缺乏端到端的企業(yè)整體安全方案;其次缺乏統(tǒng)一的安全防御模型。信息的共享與使用存在困難,政府和不同的企業(yè)、企業(yè)的不同系統(tǒng)之間,在安全架構(gòu)與模型、信息通告、接口標(biāo)準(zhǔn)等方面缺乏統(tǒng)一與協(xié)作,導(dǎo)致雖然企業(yè)建立了多種安全防御系統(tǒng),但攻擊仍然可以利用安全盲區(qū)發(fā)動;最后安全防御的成本急劇增加,攻防成本和效率失衡。
基于以上的機(jī)會,DDoS攻擊在如今呈現(xiàn)愈演愈烈之勢。近兩年來,最大規(guī)模的DDoS攻擊早已超過100G。而對傳統(tǒng)的企業(yè)級安全防御設(shè)備來說卻無法有效的進(jìn)行防御,防火墻作為網(wǎng)絡(luò)基礎(chǔ)安全設(shè)施已經(jīng)得到人們的認(rèn)可,但防火墻的主要功能是域間隔離、NAT、VPN。DDoS攻擊的對象是部署在防火墻DMZ區(qū)的服務(wù)器,傳統(tǒng)防火墻對DMZ區(qū)只能采用通用的基于應(yīng)用端口和四層協(xié)議的訪問控制,如果攻擊是模擬業(yè)務(wù)訪問報(bào)文,防火墻的防范會徹底失效。IPS設(shè)備基于特征庫過濾已知威脅,但是當(dāng)前DDoS攻擊大部分都是模擬合法業(yè)務(wù)訪問報(bào)文,所以IPS系統(tǒng)面對DDoS攻擊往往也束手無策。
而最糟糕的是,大量變源IP變源端口的DDoS攻擊會快速導(dǎo)致部署在網(wǎng)關(guān)處的新建會話低的防火墻或IPS早于業(yè)務(wù)系統(tǒng)癱瘓,現(xiàn)網(wǎng)已經(jīng)出現(xiàn)多次DDoS攻擊引起防火墻和IPS癱瘓最終導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷的事故。
在此背景下,企業(yè)的DDoS防護(hù)是時候需要一款專業(yè)的抗DDoS產(chǎn)品了。今天小編為大家推薦的是華為推出的一款專業(yè)抗DDoS產(chǎn)品——華為AntiDDoS。
華為Anti-DDoS 系統(tǒng)由檢測設(shè)備,清洗設(shè)備,管理中心三部分組成。其中Anti-DDoS8000系列產(chǎn)品采用分布式機(jī)框架構(gòu),能夠?qū)崿F(xiàn)清洗模塊和檢測模塊的靈活擴(kuò)展,性能可以根據(jù)硬件配置進(jìn)行線性擴(kuò)容。其強(qiáng)大的crossbar 交換設(shè)計(jì)可以輕松應(yīng)對百G 級的超大流量攻擊的清洗和檢測。而Anti-DDoS1000系列采用的是華為多核硬件平臺,在1U空間內(nèi)集成了所有Anti-DDoS8000 功能,輕松應(yīng)對G級DDoS攻擊。
結(jié)合多年對現(xiàn)網(wǎng)流量的分析經(jīng)驗(yàn)和對客戶訴求的理解,華為提出了精細(xì)化防范理念,使用防護(hù)對象將具有相同業(yè)務(wù)模型或同樣網(wǎng)絡(luò)位置的目標(biāo)服務(wù)器IP 進(jìn)行捆綁,對不同的防護(hù)對象使用獨(dú)立的防范策略。而其它所有管理,分析和控制均基于防護(hù)對象進(jìn)行操作,這樣便實(shí)現(xiàn)了業(yè)務(wù)獨(dú)立分析,防范,統(tǒng)計(jì),在提供精細(xì)化防范的同時也為推廣DDoS 防護(hù)增值業(yè)務(wù)提供了支撐。
與此同時,其智能防護(hù)引擎集成了DDoS防護(hù)必備的7層防護(hù)算法,逐層對攻擊流量進(jìn)行清洗過濾,實(shí)現(xiàn)對流量型攻擊和應(yīng)用層攻擊的全面防護(hù)。
通過與云計(jì)算技術(shù)的融合,華為AntiDDoS還可以為各種規(guī)模的企業(yè)用戶提供抗D方案。據(jù)悉,在中小企業(yè)市場,華為通過與安全寶的合作,為中小企業(yè)用戶提供基于云安全服務(wù)的抗D方案。而在前段時間,華為又與云清洗企業(yè)Black Lotus展開合作,利用云端能力為企業(yè)提供更大規(guī)模的流量清洗和抗D服務(wù)。
DDoS 防護(hù)是一場長期持久的戰(zhàn)爭,攻擊者總是在猜測著防護(hù)體系的防范規(guī)律,同時也在不斷的推出新的攻擊軟件和攻擊手段。在如此情勢下,單純靠網(wǎng)絡(luò)安全設(shè)備來進(jìn)行防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。完整而健全的防護(hù)體系實(shí)際上需要DDoS 防護(hù)設(shè)備,應(yīng)急響應(yīng)團(tuán)隊(duì),攻擊分析團(tuán)隊(duì)和DDoS 防護(hù)開發(fā)團(tuán)隊(duì)的通力合作才能夠建立。
京公網(wǎng)安備 11010502049343號