C114讯 10月11日消息(张海龙)目前,DDoS攻击正成为网络攻击中最为常见的攻击类型,而随着攻击型态演变,DDoS正呈现出攻击量不断攀升、攻击复杂度愈来愈高、攻击频率增加三大趋势。
这让传统保护已经无法有效侦测阻挡DDoS,作为全球DDoS防御领军企业,Arbor Networks认为,阶层式DDoS防御才是有效并全方位的解决方案。
Arbor Networks大中华区总经理金大刚认为,阶层式DDoS防御具备六大特征:
第一,驻地端防护设备必须 24 小时全天候主动侦测各类型DDoS攻击,包括流量攻击、状态耗尽攻击与应用层攻击;
第二,驻地端防护设备只要侦测到攻击流量,皆可立即阻档;
第三,必须自动挡下探子马,藉此推迟黑客刺探军情的频率,以绝后患;
第四,为了避免出现如同防火墙等设备附加功能的弱点,因此用户务必慎选无状态表架构的防护设备,以免黑客而耗尽连接数量上限而攻击得逞;
第五,用户宜跳脱设备规格的军事竞赛思维,不需过度计较其吞吐流量多大、操作界面多强,而应关注其是否深具智慧,智慧的高低,取决于设备原厂是否有能力搜集大量资料,藉由云端大数据分析萃取攻击样本,继而以最快速度产生攻击特征码,终至回馈到前端设备;
第六,需本地与云端联动,从而进行高效的DDoS防御。
事实上,这也是各大分析机构的共识,Gartner、IDC、Frost & Sullivan、 Ovum 、 Infonetics不约而同倡议“Layered DDoS Attack Protection”概念,即由多层次防御手段,达到阻挡DDoS攻击的效果。
不过,金大刚认为,目前市场上众多的DDoS防御解决方案并不能真正解决DDoS攻击。例如,CDN对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用,在与后台主机的联机信道中,会充斥大量对话,其中可能存在恶意流量。
至于区域性电信运营商,由于无法主动侦测应用层攻击、或状态耗损攻击,再加上即使勉可过滤攻击流量,但因容量有限,只要容量用尽便无法执行清洗,或将导致后续正常封包,也将被丢弃。
而国际流量清洗中心利用海外机房执行清洗任务,迫使用户必须绕一大段路才能接受过滤服务,难免造成延迟,大大降低服务质量。此外,防火墙或IPS等设备商则有着最大连接数的限制。
对此,Arbor Networks推出了阶层式DDoS防御解决方案,通过APS(Pravail Availability Protection System)对流量进行检测清洗,当APS遭遇难以排除的攻击流量,便通过云端清洗中心展开流量过滤,从而保障网络能够及时有效抵御DDoS攻击。
尤其值得一提的是,Arbor Networks拥有全球95%主流电信运营商客户,通过和全世界300多家电信运营商的合作关系,Arbor的研究中心可以实时接收这些电信运营商提供的样本流量信息。因此Arbor掌握了全球逾四成因特网实时流量信息,可比竞争对手更快察觉新型攻击样态,从而实时建立指纹知识库,协助用户得以及时侦测并防御恶意攻击。
