DDoS攻擊愈演愈烈,攻擊的規(guī)模也越來越大。用戶應該如何選擇DDoS流量清洗方案、產(chǎn)品,才能避免無謂的設備采購,最終選擇適合自己的產(chǎn)品,達到控制成本的同時又能有效防御DDoS攻擊。本文闡述了DDoS流量清洗產(chǎn)品選型的七大誤區(qū),以及相應的注意事項。
分析:防火墻與入侵檢測IPS通常串行部署在網(wǎng)絡下游的網(wǎng)關位置,是基于狀態(tài)檢測的訪問控制系統(tǒng),本身就是DDoS的攻擊目標,在新建連接與狀態(tài)連接耗盡時成為瓶頸。
誤區(qū)一:選擇防火墻或入侵檢測IPS來清洗DDoS
DDoS最佳防護實踐就是:流量清洗中心加上運營商BGP路由調度控制;
誤區(qū)二:選擇清洗設備的性能遠高于自己的出口帶寬
分析:有些客戶網(wǎng)絡出口帶寬只有100M,廠商卻推薦選擇1G甚至4G清洗設備。
標準的云清洗說法是本地清洗應用型DDoS攻擊,云端清洗流量型DDoS攻擊。
誤區(qū)三:選擇清洗系統(tǒng)時只看設備硬件指標,忽視廠家攻擊清洗技術專業(yè)能力
分析:廠家缺乏有經(jīng)驗和技能的清洗專家,不具備與上游運營商實時溝通,快速檢測攻擊與攻擊應急災備能力。客戶只是買到一個硬件盒子,平時沒人看,急用現(xiàn)調試。
DDoS清洗的最佳實踐理念是“三分產(chǎn)品技術,七分設計服務”
誤區(qū)四:選擇清洗設備時只看端口吞吐量性能,忽視小包處理能力與正則匹配下的處理性能。
分析:清洗設備標稱的處理性能指標通常是實驗室測試標準,在現(xiàn)網(wǎng)實際小包攻擊與正則匹配下性能劇降,10G性能指標的清洗設備現(xiàn)網(wǎng)小包清洗能力不過4G左右。
誤區(qū)五:選擇清洗系統(tǒng)只看硬件清洗異常流量性能,忽視清洗后正常業(yè)務流量的通過性能。
分析:清洗設備沒有可預期的正常流量通過能力,當清洗DDoS系統(tǒng)的硬件資源被異常流量占用時,正常流量通過能力劇降,系統(tǒng)無法預設與分配處理異常流量與正常流量的硬件資源配置。
誤區(qū)六:選擇DDoS云清洗服務同時希望提供加速等一攬子其他功能。
分析:應用加速與流量清洗在同一個數(shù)據(jù)中心出口下處理時相互干擾。在他人被攻擊時,自己易受影響。
應用加速與流量清洗在小規(guī)模攻擊的情況下同時提供比較現(xiàn)實。
誤區(qū)七:選擇云清洗服務商的清洗位置過于靠近下游,且不具備BGP路由調度控制能力。
分析:大規(guī)模DDoS攻擊發(fā)生時,整個網(wǎng)絡上下游均出現(xiàn)故障,客戶最大的問題是不知道電話打給誰去解決。
云清洗服務商需要具備自治域AS號進行BGP路由調度控制與DNS全網(wǎng)策略控制能力,才能帶給客戶網(wǎng)絡服務可用性一片合泰云天。
京公網(wǎng)安備 11010502049343號