DDoS(分布式拒絕服務)攻擊由來已久,但如此簡單粗暴的攻擊手法為何時至今日依然有效,并成為困擾各大網站穩定運營的“頭號敵人”呢?實際上,這與DDoS攻擊不斷變化演進不無關系。面對此種態勢,企業又該如何開展積極有效地防御部署呢?深諳此道的Arbor Networks指出,只有多層級的DDoS防護才是王道。
DDoS攻擊的三大趨勢
DDoS攻擊是一種利用大量攻擊流量淹沒目標網絡,令受害網站無法處理正常訪問請求的一種高破壞力、高攻擊效率的網絡攻擊手法。由于其成本低廉、高效,因此被網絡犯罪分子們所青睞,成為他們攻擊、勒索商業網站的重要武器。
在Arbor Networks大中華區總經理金大剛看來,現階段的DDoS攻擊呈現出三大趨勢:
首先是攻擊的M型(兩極化)趨勢。當前的DDoS攻擊不僅有以超大攻擊流量為主的泛洪攻擊,還有能夠進行精準打擊的狀態耗盡攻擊、應用層攻擊。不論哪種攻擊方式,都能夠發揮強大殺傷力,對企業網站造成嚴重傷害。
其次是新形態DDoS攻擊規模不斷攀升。早年間黑客動用數十Mbps、甚至1Gbps攻擊流量,便可達到效果,但隨著目前用戶防御實力升級,攻擊者也順勢加碼,自從2013年首次出現300G規模攻擊流量后,2014年出現了400Gbps,2015年則達到500Gbps,未來再破記錄的幾率也不低。
再有就是攻擊速度的變化。除了傳統的一段時間內集中發起的DDoS攻擊外,利用緩慢甚至是微量的惡意訪問流量卻能夠拖垮企業應用服務器的攻擊行為也開始在全球盛行起來。而且利用單一事件混搭多種攻擊型態的DDoS攻擊,如先發動狀態耗盡攻擊,隨后再進行流量攻擊也開始流行,并給網站帶來猝不不及防的威脅性。
主流防護體系中的軟肋
那么面對上述DDoS攻擊趨勢,目前的主流防護機制無法勝任么?金大剛表示肯定。他指出,如果按派系劃分,現階段防DDoS攻擊的主流廠商大致可分為三個派系。
一類為基于防火墻、入侵檢測系統、Web應用防護系統、負載均衡設備加上DDoS防護方案的廠商,一類是當地運營商或流量清洗中心,還有一類是CDN廠商。
不過對于上述各派的抵御DDoS方案來說,或多或少都存在一些軟肋“罩門”。比如,第一類廠商推出的傳統安全設備,原本不是為了DDoS防護所設計的。因此,這些有狀態表(Stateful)的設備, 很容易在發揮出DDoS防護機能之前就被攻擊者利用狀態耗盡攻擊而自身難保了。而一些非專業DDoS保護設備則容易造成誤判。
對于運營商或ISP流量清洗中心來說,雖然可以提供有限的流量清洗能力, 但面對暴力流量攻擊發生時, 往往仍然無法進行有效清洗,或者說洗不干凈,而且無法主動偵測L7等攻擊行為以及不能掌控預算花費,在DDoS防御的縱深度上有一定欠缺。
而對于CDN廠商來說則往往欠缺防御廣度,例如其不能阻擋非網頁型態的攻擊行為;針對實際IP進行攻擊也無法攔截;動態網頁型的客戶則無法阻擋狀態耗盡攻擊;受限金融法規規范, 對金融交易所需加解密無法支持等等。
全方位阻斷策略
既然現階段的DDoS防護方案都存在這樣或那樣的不僅人意,究竟該如何應對DDoS攻擊呢?金大剛表示,一個完善可靠的DDoS防護,必須采用多層級的全方位阻斷策略。而這樣的防護體系需要具備下面的六大特征:
第一,駐地端防護設備必須24小時全天候主動偵測各類型DDoS攻擊,包括流量攻擊、狀態耗盡攻擊與應用層攻擊。
第二,駐地端防護設備只要偵測到攻擊流量后,即可實現阻擋。
第三,利用Arbor Pravail可用性保護系統(APS)設備,可以自動阻擋攻擊者的試探性流量,并推遲其后續攻擊頻率,積極防御。
第四,為了避免出現上述防火墻等設備存在的弊端,用戶應該選擇無狀態表架構(Stateless Architecture)的防護設備。
第五,利用云平臺、大數據分析,積累并迅速察覺攻擊特征碼,建立指紋知識庫(Signature Database),以協助企業及時偵測并阻擋惡意流量攻擊。
第六,將APS設備與Arbor Cloud云端清洗中心相結合,開展聯動防護。
顯而易見,通過上面的全方位阻斷策略,企業不僅可以構建出一套高效的多層級DDoS防護體系,還能夠在日益難纏的DDoS攻擊面前立于不敗之地了。
京公網安備 11010502049343號