DDoS緩解服務(wù)不僅僅只是技術(shù)或服務(wù)保障。底層網(wǎng)絡(luò)的質(zhì)量和適應(yīng)能力才是企業(yè)防御系統(tǒng)中的關(guān)鍵組件,必須對其進行細致評估,以確定其能在多大程度上保護企業(yè)免受復(fù)雜DDoS攻擊的侵擾。
以下就是評估DDoS清洗網(wǎng)絡(luò)時需要注意的5大關(guān)鍵因素。
超大容量
當(dāng)涉及到大流量DDoS攻擊防護時,規(guī)模就很重要。過去十年間,DDoS攻擊的容量一直在穩(wěn)步增長,每年都會達到新的攻擊量(和規(guī)模)。
迄今為止,最大的DDoS攻擊是針對GitHub的基于memcached的DDoS攻擊。此次攻擊的峰值達到了約1.3兆位/秒(Tbps)和1.26億數(shù)據(jù)包/秒(PPS)。
為了抵御這一攻擊,清洗網(wǎng)絡(luò)不僅必須具備足夠容量來'覆蓋'攻擊,而且還必須擁有足夠的溢出容量來容納網(wǎng)絡(luò)上的其他客戶以及可能同時發(fā)生的其他攻擊。最好是尋找至少具備高于迄今所觀察到的最大攻擊容量2-3倍的緩解網(wǎng)絡(luò)。
專用容量
然而,僅僅擁有大容量還是不夠的。專用于DDoS清洗的容量同樣重要。許多安全提供商,尤其是那些采用'邊緣'安全方法的提供商,都是依靠內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)的容量來進行DDoS攻擊緩解的。
然而問題是,按照慣例,多數(shù)容量已經(jīng)被使用。CDN提供商也不愿意為未使用容量買單,因此CDN帶寬利用率通常可以達到60-70%,且經(jīng)常會達到80%或以上。因此,為大規(guī)模DDoS攻擊帶來的'溢出'流量留下的空間就會很小。
因此,將重點放在那些容量專用于DDoS清洗并且可以與CDN、WAF、或負載均衡等服務(wù)隔離的網(wǎng)絡(luò)上才是更明智的做法。
全球覆蓋
企業(yè)部署DDoS緩解解決方案是為了確保服務(wù)的可用性。可用性的一個日益重要方面就是響應(yīng)速度。也就是說,問題不僅僅只是服務(wù)的可用性,還有服務(wù)的響應(yīng)速度有多快?
云端DDoS防護服務(wù)將客戶流量發(fā)送到服務(wù)提供商的清洗中心,清除惡意流量,然后將潔凈流量轉(zhuǎn)發(fā)到客戶的服務(wù)器。因此,這一過程不可避免地增加了一定的用戶數(shù)據(jù)傳送延遲。
影響延遲的一個關(guān)鍵因素是與主機之間的距離。因此,為了將延遲降至最低,清洗中心必須盡可能地靠近用戶。這只能通過遍布全球的網(wǎng)絡(luò)來實現(xiàn),該網(wǎng)絡(luò)在戰(zhàn)略通信中心部署了大量清洗中心,可以大規(guī)模訪問高速光纖連接。
因此,在檢查DDoS防護網(wǎng)絡(luò)時,不僅要查看容量,還要查看清洗中心的數(shù)量及其分布情況。
任播路由
影響響應(yīng)時間的一個關(guān)鍵因素就是網(wǎng)絡(luò)本身的質(zhì)量及其后端路由機制。為了確保實現(xiàn)最大速度和適應(yīng)能力,現(xiàn)代安全網(wǎng)絡(luò)必須是基于任播路由的。
基于任播的路由可以在IP地址和網(wǎng)絡(luò)節(jié)點之間建立一對多的關(guān)系(即,多個網(wǎng)絡(luò)節(jié)點具有相同的IP地址)。當(dāng)請求發(fā)送到網(wǎng)絡(luò)時,路由機制會根據(jù)最小成本路由原則確定哪個網(wǎng)絡(luò)節(jié)點是最佳的目的地。
可以根據(jù)跳數(shù)、距離、延遲或路徑成本考慮來選擇路由路徑。因此,來自任意給定點的流量通常會被發(fā)送到最近和最快的節(jié)點。
任播有助于提高網(wǎng)絡(luò)中流量發(fā)送的速度和效率。基于任播路由的DDoS清洗網(wǎng)絡(luò)也具備這些優(yōu)勢,從而為最終用戶帶來更快的響應(yīng)和更低的延遲。
多重冗余
最后,在選擇DDoS清洗網(wǎng)絡(luò)時,備份也是很重要的。DDoS防護服務(wù)的全部意義就是確保服務(wù)的可用性。因此,企業(yè)不能讓DDoS防護服務(wù)或其中的任何組件成為單個故障點。這就意味著安全網(wǎng)絡(luò)中的每個組件都必須擁有多個冗余備份。
這不僅包括多個清洗中心和溢出容量,而且需要多個冗余的ISP鏈路、路由器、交換機、負載均衡器、緩解設(shè)備等。
所有組件都具備多重冗余的網(wǎng)絡(luò)才可以隨時確保完全的服務(wù)可用性,并確保企業(yè)的DDoS緩解服務(wù)不會成為企業(yè)的單個故障點。
提出質(zhì)疑
除了技術(shù)和服務(wù),底層網(wǎng)絡(luò)也是云安全網(wǎng)絡(luò)的重要組成部分。以上五個因素概括了企業(yè)應(yīng)該通過哪些重要指標(biāo)來評估提供潛在DDoS防護服務(wù)的網(wǎng)絡(luò)。
向企業(yè)的服務(wù)提供商或任何正在評估的服務(wù)提供商詢問其每個指標(biāo)的相關(guān)能力,如果對他們的答案不滿意,那么企業(yè)就應(yīng)該考慮尋找替代方案了。
京公網(wǎng)安備 11010502049343號