可用性就是一切

可用性對于企業意味着什麼？

對于業務主要依賴于網絡和網站的組織而言，分布式拒絕服務攻擊（DDoS攻擊）會帶來巨大的風險，關系到每一個人。網上銀行、零售、旅行服務、醫療服務門戶網站、電信、B2B電子商務，幾乎每一種業務模式都包含重要的線上交易元件，有時甚至全部線上上進行。

當使用者想要使用線上服務時如果突然無法通路，會感到非常失望。如果數千甚至數百萬客戶同時遭受一次DDoS攻擊，它對組織造成的潛在威脅簡直不可想象。維護數字平台、網絡、服務和應用的可用性不僅是一個安全問題，更是一個業務風險和可持續性問題。

網絡出現大面積故障并不需要太多誘因。2016年11月，一家主流網際網路基礎設施公司偶然發生的誤配置問題導緻看多家大型營運商運作中斷。雖然這次“路徑洩露 ”隻是非惡意的偶然事件，但對于營運商及其客戶而言，其導緻的90分鐘網絡無法通路依然是難以接受的。

蓄意攻擊可能造成更具毀滅性的後果。與旨在洩露資料值而專門設計的隐秘性進階攻擊或資料洩露攻擊不同，成功發起DDoS攻擊産生的後果是立即可見的，表現為性能降低、間歇性運作中斷、一連串客戶投訴，以及網絡突然完全無法通路等情況。無論動機如何，其目标都是讓服務中斷。

攻擊威脅是否已超過保護功能？

隻要存在電子商務，就存在DDoS攻擊。擁有大量線上業務的成熟企業總是采取各種措施確定可用性。然而，幾年前部署的防禦措施是否足以抵禦如今的攻擊？DDoS威脅已經變為更加複雜的動态多向量攻擊。攻擊者利用多種攻擊方法，以便在大部分方法引起防禦注意力的同時至少有一種方法能夠攻擊成功。這些攻擊類型包括：

容量耗盡攻擊：這類攻擊消耗大量帶寬，本質上是“充滿”網絡管道和路由器接口。

TCP狀态表耗盡攻擊：這類攻擊會耗盡防火牆、負載平衡器和網絡伺服器等網際網路基礎設施裝置中所有可用的傳輸控制協定（TCP）連接配接。

應用層攻擊：這類 “低而緩”的攻擊企圖逐漸消耗應用伺服器中的資源。

不僅如此，由于廉價的DIY式攻擊工具和DDoS租用服務具有随時可用性，如今的攻擊類型讓威脅發起人無需太多經驗就能夠很容易地發起攻擊。物聯網（IoT）裝置大量出現，由于安全措施不完善，這些裝置正在被僵屍網絡占據，并被打造為發起多向量DDoS攻擊的武器，威脅趨勢已變得愈發嚴峻。

對風險和防禦措施進行評估

由于多向量攻擊日漸增多，安全專家一緻認為，降低DDoS攻擊風險需要一種利用多種同步緩解方法的深度防禦方法或分層防禦方法。

防火牆是專為預防非法資料通路而設計的政策執行解決方案，長期以來一直是抵禦攻擊的第一道防線。可惜的是，如果遇到可用性威脅（例如如今的多向量DDoS攻擊），防火牆就不是十分有效了。現代防火牆可執行狀态包檢查，即針對通過防火牆的所有連接配接建立記錄，可确定狀态包是新連接配接的開始、現有連接配接的組成部分還是無效連結。但作為狀态型内聯裝置，防火牆會增大受攻擊面，并且可能成為DDoS攻擊目标，其内在功能無法檢測或阻止DDoS攻擊，因為攻擊向量使用開放的端口和協定。是以，由于連接配接跟蹤容量被耗盡，防火牆容易成為DDoS攻擊的首個目标。由于是内聯裝置，防火牆還會提高網絡延遲。最終，由于是狀态型裝置，防火牆容易遭受傳輸控制協定同步（TCP SYN）洪水攻擊和欺騙性網絡控制消息協定（ICMP）洪水攻擊。

智能DDoS緩解解決方案（IDMS）專為抵禦DDoS攻擊而打造，可在本地部署于防火牆之前。該解決方案可抵禦大部分攻擊，實際上，80% DDoS攻擊的攻擊規模不超過1GB。然而，該解決方案不足以阻止日漸增多的大規模攻擊企圖耗盡網際網路帶寬。這些規模較大的攻擊最好在雲端進行消解。如今，抵禦攻擊的最佳做法是将本地解決方案和雲端解決方案內建在一起。

如今的DDoS威脅不同于十年前或者五年前。認識到可用性中斷帶來的業務風險之後，使用者非常必要通過風險分析來評估漏洞，了解各種情況下DDoS攻擊的影響，并确定需要采取的措施以最大程度降低威脅。

本文出處：暢享網

本文來自雲栖社群合作夥伴暢享網，了解相關資訊可以關注vsharing.com網站。