當前位置：安全 → 解決方案 → 正文

DDoS攻擊已從TCP/IP層上升到應用層

責任編輯：editor004 |來源：企業網D1Net 2014-03-05 10:54:29 本文摘自：08:35IT專家網佚名

盡管DDoS攻擊已經成為老生常談的網絡攻擊方式，但這種方式近幾年卻以更多的花樣和更大的規模，給企業/用戶帶來巨大的網絡安全威脅，且已從TCP/IP層上升到了應用層。

最近一次影響重大的DDoS攻擊，當屬日本比特幣交易平臺Mt Gox的遭遇。Mt Gox因系統缺陷而飽受爭論，并遭遇到了一次“大規模DDoS攻擊”，由于無法與比特幣網絡保持同步，比特幣兌換率大幅下跌，交易平臺暫停取現，最后5億美元比特幣被盜，Mt Gox倒閉。

在此前的2014年2月11日, 美國云安全服務提供商CloudFlare透漏其客戶遭受400G的NTP Flood攻擊，刷新歷史DDoS攻擊的流量峰值，并使得NTP Flood攻擊備受業界關注。

DDoS(分布式拒絕服務)，英文全稱Distributed Denial of Service，是一種基于DoS的特殊形式的拒絕服務攻擊，主要瞄準例如商業公司、搜索引擎和政府部門等比較大的站點。DDoS攻擊通過多臺受控機器向某一指定機器進行攻擊，攻擊方式大多簡單粗暴，來勢迅猛防不勝防。

更可怕的是，通過現有的一些工具，發起DDoS攻擊也變得越來越容易，那些對計算機技術并不精通的用戶也能發起DNS反射攻擊。而媒體報道也顯示，DDoS攻擊已經愈演愈烈。

那么，現階段企業應當如何防范DDoS攻擊呢？A10安全專家認為，想要有效防御DDoS攻擊，用戶首先必須采用高性能網絡硬件產品來保護好“滿腹寶藏”卻“手無寸鐵”的網絡設備;其次還需注意，更為復雜的應用層(L7)攻擊正在不斷增多，需要得到深度包檢測(DPI)產品的保護。而防火墻、入侵防護系統(IPS)等傳統安全解決方案由于設備設計架構所限，沒有足夠能力應對大規模的DDoS攻擊。而事實上，安全基礎設施常常是DDoS攻擊的直接目標，如果連網絡安全系統都遭受到破壞，那么在后方受其保護中的那些服務就更是變成了浮云。

基于這樣的思路，A10推出A10 Thunder TPS系列威脅防護系統幫助客戶解決這樣的現實安全問題，該系統可為服務提供商和大型企業提供高性能、全網范圍的防護，有效抵御DDoS攻擊，在遇到各種泛洪型、協議漏洞型、資源耗盡型和其它復雜應用攻擊的情況下，都能確保服務的可用性。同時進一步優化現有安全解決方案，使其有足夠的能力應對大規模DDoS攻擊。

據悉，Thunder TPS產品系列基于A10 Networks極具擴展性的ACOS高級核心操作系統，并采用了A10 SSMP(可擴展的對稱多處理)架構，可提供出色的高性能，利用共享內存技術來高效地跟蹤網絡數據流，為服務提供商、網站運營商及企業提供精確的DDoS攻擊防護。TPS以最高效的硬件產品為關鍵應用交付可靠的保護，確保數據中心資源得到高效利用。小巧的外形和出色的性能相結合，可幫助客戶通過大幅度降低對電源、機架空間和冷卻的要求來降低運營支出。

· 多級DDoS防護確保服務可用性：隨著客戶對服務可用性及互聯網連接依賴性的日益加重，故障停機就意味著收入損失。Thunder TPS可有效抵御多種類型的攻擊，包括泛洪攻擊、協議漏洞型攻擊、資源耗盡型攻擊和應用層漏洞型攻擊，TPS可及時檢測并防御這些攻擊，確保服務可用性。此外，借助A10 Networks的aFleX深度數據包檢查(DPI)腳本技術，還可以根據需要對高級應用層(L7)攻擊采取定制化的應對措施。

· 性能可擴展性可適應不斷增加的攻擊規模：整個網絡行業和商業分析師都正在關注DDoS攻擊不斷增加的趨勢。不僅攻擊發生頻率不斷提高，而且數量和復雜程度也與日俱增。借助從40到160 Gbps的DDoS防御性能(集群部署時性能高達1.2 Tbps)，Thunder TPS確保即使最大規模的DDoS攻擊也可以得到有效應對。

所有Thunder TPS產品型號都采用基于高性能的FPGA(Field Programmable Gate Array)的FTA(Flexible Traffic Acceleration)技術，可在硬件中快速檢測并防御30多種常見攻擊，而不影響核心系統的數據CPU。更復雜的應用層(L7)攻擊(HTTP、SSL、DNS等)由最新的IntelXeon CPU進行處理，因此可通過將多維檢測和防御功能分布到優化的系統來確保性能的可擴展性。

· 廣泛的部署靈活性實現無縫集成：為輕松集成到各種網絡架構中，用戶需要一種廠商中立的靈活DDoS攻擊防御解決方案。借助可支持帶內和帶外操作的靈活部署模式，再加上路由或透明運行模式，Thunder TPS可輕松集成到任何規模的任何網絡架構中。通過A10 Networks的aXAPI(開放的RESTful API)，Thunder TPS還可集成到自定義的或第三方檢測解決方案中。

目前，經濟犯罪、政治目的、惡意競爭、敲詐等是黑客發起DDoS攻擊的主要原因。隨著DDoS攻擊方式的翻新，規模的擴大，企業需要加強安全防范意識，提高網絡系統的安全性。A10提供的解決方案，為我們帶來的新的解決思路。

關鍵字：DDoS攻擊防御性能應用層