DDoS并不是一個新鮮的話題,越來越大的流量型DDoS攻擊被人所熟知,是以近幾年市面上出現不少針對DDoS攻擊的雲清洗廠商。因為針對大流量型攻擊(T級别DDoS開始出現),很少有企業有能力和資源應對此類攻擊。
不過,把DDoS防護隻交給雲清洗廠商或上遊營運商就夠了嗎?在不少第三方咨詢和調研機構的眼裡,這個答案是否定的。不管是
Gartner、IDC、Frost&Sullivan、Ovum或Infonetics,皆不約而同倡議“Layered DDoS
Attack Protection”概念,即多層次防禦手段。
“淨水需要自來水廠還要有家用濾水器”
如果把DDoS攻擊比喻為家庭淨水處理,在Arbor Networks大中華區總經理金大剛看來,要很好地做好DDoS防護,即需要自來水廠淨水流程還要有家用濾水器,這就是分層次的防禦概念。
Arbor Networks大中華區總經理金大剛
“自來水廠的服務來洗大量污水,至少看起來幹淨無味,家用濾水器二次濾除雜質、重金屬等有害人體健康的污染物,就是要讓它達到符合人飲用的标準。”金大剛說,在流量型DDoS攻擊引人注目的同時,針對安全裝置的狀态耗盡攻擊(State
Exhaustion Attack)、及網頁服務的應用層攻擊(Application
Attack)也越來越多。黑客的攻擊行為可能利用單一事件混搭多種攻擊型态,例如先發動狀态耗盡攻擊,接着發動流量攻擊。
濾水器與自來水廠,其關系好比本地防護裝置、雲端清洗服務。大量的“污水”即3、4層的攻擊行為由雲清洗服務處理,但是它們看不到7層的攻擊,這也就需要家用濾水器也就是本地防護裝置發揮作用。
對企業使用者來說,這個防禦架構也許是這樣的,當本地防護裝置遭遇難以自力排除的粗魯攻擊流量時,可在第一時間自動向雲端清洗中心主動發送求救訊号,便于遠端流量清洗中心縮短執行路由收斂等前置暖身程式,以及時展開流量過濾。亦或這兩種防護手段同時兼具。
論各大DDoS防護門派
江湖中有武當、峨眉、少林,DDoS防護也分各大門派,金大剛将他們總結為三類:CDN、當地營運商/流量清洗中心、和FW/IPS/WAF/LB + DDoS安全裝置。
不過在金大剛看來,CDN運用轉進方式閃避DDoS侵襲,對于靜态網頁極具保護功效,但對于需要與背景實時聯機撮合的動态網頁,則相對不适用。并且CDN業者僅能協助供
HTTP或HTTPS 等相關服務,但企業的關鍵應用,絕不僅止于此這些類型,一旦跳脫HTTP或HTTPS,CDN 業者便愛莫能助。
對于營運商或雲清洗服務來說,則無法主動偵測應用層攻擊、或狀态耗損攻擊,很多雲清洗服務商迫使使用者必須繞一大段路才能接受過濾服務,難免造成延遲,損及服務品質。
談到防火牆或IPS等裝置商提供的附加防禦功能,則清一色陷入相同弱點,即是背負“最大連接配接數限制”這個先天宿命,是以黑客隻要針對此弱點窮追猛打,僅需1~2分鐘,便可能癱瘓裝置功能。
Arbor:張無忌or宋青書?
Arbor在DDoS防護領域獨樹一幟,同樣是一家裝置提供商,既然金大剛說到了裝置的諸多“不是”,Arbor又有何不同?
金大剛接下來說的一番話,更像是一個武俠迷。張無忌如果跟宋青書兩個關在山洞裡面,兩個誰會赢?他相信是張無忌。“張無忌的爸爸是誰?張翠山。媽媽是誰?殷素素。他的爺爺是誰?張三豐。他的外祖父是誰?白眉鷹王。那宋青書呢?他的爸爸是誰?宋遠橋。他的媽媽是誰?不知道。爺爺是誰?不知道。外公是誰?不知道。”比他們的DNA,誰有優秀的血統。
金大剛說,“Arbor在DDoS防護領域學了16年了,有純正的血統,我學的指紋,我的知識遠比其他人要來得豐富得多。我們在DDoS領域收集來的指紋知識庫遠比其他人要多非常多,這就相當于我們的DNA。”
張無忌練就的功夫除了九陽神功還有什麼?還有乾坤大挪移。“九陽神功,是Arbor優秀的DNA,就是指紋知識庫。乾坤大挪移是Arbor全世界獨一無二的無狀态表架構,這是我們裝置最大的特色。”
意味着什麼?别人都有最大會話數的限制,遇到狀态耗盡攻擊不堪一擊,那Arbor呢?Arbor有沒有最大會話數的限制嗎?金大剛給出的答案是“沒有”。
此外,全球擁有400多家服務提供商客戶和合作夥伴, 讓Arbor成為市場上唯一有如此衆多客戶和合作夥伴群的DDoS解決方案供應商。其實作了對大約三分之一的全球網際網路資料流的深度分析,使Arbor能夠對驅動全球DDOS活動的物聯網僵屍網絡進行獨特的深度分析。
當然,不得不說,Arbor的裝置在業界來說是相對是比較貴的,不過金大剛強調,“買裝置不是應該隻挑便宜的,應該要挑誰最有效。”
原文釋出時間為: 2017年10月16日
本文作者:陳廣成
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。