隨著DDoS攻擊越來越頻繁的威脅到基礎業務系統和數據安全,如今每個公司都會考慮選用具有DDoS攻擊能力的服務器產品,把安全防護的需求交給專業的服務提供企業是現在普遍的防護手段。通常大型數據中心都會使用旁路部署技術來應對:抗拒絕服務產品可以不必串聯在原有網絡中,除了減少故障點,而且由於大多數帶寬不必實時通過抗拒絕服務產品,因此一個較小的抗DDoS清洗容量就可以適用於一個大帶寬的網絡中,有效的降低投入成本。旁路工作原理如下:
· 攻擊檢測:通過配置鏡像接口或Netflow方式 感知到有攻擊流量,判斷是否有拒絕服務攻擊發生。
· 流量牽引:確定發生拒絕服務攻擊後,利用路由 交換技術,將原本要去往受害IP的流量牽引至旁路 ADS設備。被牽引的流量為正常流量與攻擊流量的混合流量;
· 攻擊防護/流量淨化:ADS設備通過多層次 的垃圾流量識別與淨化功能,將拒絕服務攻擊 的流量從混合流量中分離、過濾;
· 流量注入:經過ADS淨化之後的正常流量被重新注入回網絡,到達目的IP.
採用旁路部署,具有以下優勢:僅在IPS等安全設備報警時與之聯動,開始自動注入混合流量,平時正常情況下並不工作;設備旁路部署即使ADS出現故障也不會影響網絡連通性;多機並用成倍提升清洗能力;支持手動/自動牽引流量,讓安全工程師與安全設備互補。
一級運營商管理運營豐富的骨幹網帶寬資源,對於大流量及超大流量DDoS攻擊具有先天性的壓制優勢,運營商是整個網絡的支撐者,所有的攻擊流量都必須通過運營商, 如果在運營商層面全面的打擊DDOS攻擊行為,將能起到一勞永逸的效果,所以運營商應當為用戶打造抗DDOS的堡壘。
對於運營商而言,保證其網絡可用性是影響ROI的決定因素。如果運營商的基礎網絡遭受攻擊,那麼所有承載的業務都會癱瘓,這必然導致服務質量的下降甚至失效。同時,在目前競爭激烈的運營商市場,服務質量的下降意味著客戶資源的流失,尤其是那些高ARPU值的大客戶,會轉投其他的運營商,這對於運營商而言是致命的打擊。所以,有效的DDoS防護措施對於保證網絡服務質量有著重要意義。 另一方面,對運營商或是IDC而言,DDoS防護不僅僅可以避免業務損失,還能夠作為一種增值服務提供給最終用戶,這給運營商帶來了新的利益增長點,也增強了其行業競爭能力。
目前大部分的DDOS攻擊都會使用偽造的IP地址,尤其是反射型的DDOS攻擊,如果不使用偽造的IP將無法攻擊,如果運營商在全網開啟源IP的校驗,是不偽造的IP無法進入互聯網則可以從源頭上制止DDOS攻擊。另外,使用溯源技術:因為在全網開展源地址驗證可能會難度很大,但是防DDOS的關鍵又在源地址上,所以應該使用各種溯源技術,在攻擊發生時迅速找到攻擊源,取證並切斷攻擊源的網絡,使攻擊止於源頭。
對於普通用戶的網絡接入,應儘量給與私網IP地址,然後通過NAT多個用戶公用同一IP,這樣第一節省了IP地址,第二,普通用戶發出的各種報文的源地址都會被NAT替換成真實的地址,防止源地址偽造。第三,也有利於普通用戶的安全,這相當於多了一道防火牆,能夠阻擋大部分來自公網的主動連接,比如掃描等行為。或者把ip報文頭中未實際使用的部分,比如八位的QOS標誌、IP選項字段,加入對來源標識功能,每個接入層的路由交換設備帶有不同的標緻,可以通過報文攜帶的不同標誌找到它的大體發送源。
運營商一定要高度重視自身網絡設備的安全性,不要讓網絡設備成為反射放大器甚至被黑客控制,因為運營商在網絡中起到只管重要的作用,如果黑客遠程關閉一臺核心交換機將比任何DDOS攻擊危害更大效果更明顯。在各地區建立流量清洗站,清洗DDOS流量,並且為企業提供清洗服務,將DDOS流量轉入清洗站清洗,如遇特大型DDOS攻擊時,可以共同分擔清洗任務。總之,雲計算公司有很大的計算能力,運營商有很大的帶寬資源,強強聯合能極大提升抗DDOS能力。
在DDoS攻擊中,攻擊方和防禦方就像兩名棋局上的棋手,見招拆招,根據對方的改變而改變自己的攻擊/防禦方法,僅僅通過一種方式就打癱一個目標是很難實現的,僅僅靠ADS設備去自動的防禦所有攻擊是不現實的,不論實在攻擊還是防禦中,人都應該處在主導地位,通過安全人員的專業知識與經驗,合理的使用和配置防禦設備才能更好的防禦住來自於各方的各種DDOS攻擊。
閱讀更多 穩網互聯 的文章
