抗拒絕服務的攻擊(DDoS):是疏還是堵?

來源:互聯網
上載者:User

  抗DDoS(分散式阻斷服務攻擊)攻擊系統是針對業務系統的穩定、持續運行以及網路頻寬的高可用率提供防護能力進行維護。然而,自1999年Yahoo、eBay等電子商務網站遭到拒絕服務的攻擊之後,DDoS就成為Internet上一種新興的安全威脅,其危害巨大且防護極為困難。

  尤其是隨著駭客技術的不斷髮展,DDoS攻擊更是出現了一些新的動向和趨勢:

  高負載—DDoS攻擊通過和蠕蟲、Botnet相結合,具有了一定的自動傳播、集中受控、分布式攻擊的特徵,由於感染主機數量眾多,所以DDoS攻擊可以製造出高達1G的攻擊流量,對於目前的網路裝置或應用服務都會造成巨大的負載。

  複雜度—DDoS攻擊的本身也從原來利用三層/四層協議,轉變為利用應用程式層協議進行攻擊,如DNS UDP Flood、CC攻擊等。某些攻擊可能流量很小,但是由於協議相對複雜,所以效果非常明顯,而防護難度也很高,如針對網遊伺服器的CC攻擊,就是利用了網遊本身的一些應用協議漏洞。

  損失大—DDoS攻擊的危害也發生了一些變化,以往DDoS主要針對門戶網站進行攻擊,如今攻擊對象已經發生了變化。如DNS伺服器、VoIP的驗證伺服器或網遊伺服器,互連網或業務網的關鍵應用都已經成為攻擊的對象,針對這些服務的攻擊,相對於以往會給客戶帶來更大的損失。

  疏與堵的博弈

  近幾年來,蠕蟲是Internet上最大的安全問題,某些蠕蟲除了具有傳統的特徵之外,還嵌入了DDoS攻擊代碼,加之Botnet的出現,駭客可以掌握大量的傀儡主機發動DDoS攻擊,從而導致其流量巨大。在2004年唐山駭客針對北京某知名音樂網站發動的DoS攻擊中,其攻擊流量竟然高達700M,對整個業務系統造成了極大的損失。

  目前絕大部分的抗拒絕服務的攻擊系統雖然都號稱是硬體產品,但實際上都是架構在X86平台的伺服器或是工控機之上,其關鍵組件都是採用Intel或AMD的通用CPU,運行在經過裁剪的作業系統(通常是Linux或BSD)上,所有資料包解析和防護工作都由軟體完成。由於CPU處理能力以及PCI匯流排速度的制約,這類產品的處理能力受到了很大的限制,通常這類抗拒絕服務的攻擊產品的處理能力最高不會超過80萬pps。

  然而,面對DDoS攻擊,傳統X86架構下的DDoS防護裝置在效能及穩定性上都很難滿足防護要求,更何況在傳統抗DDoS攻擊方案中,基本上都採用了串聯部署(即:接在防火牆、路由器或交換器與被保護網路之間)的模式,這種模式存在較多的缺陷:一方面增加了網路中的單點故障,同時可能造成效能方面的瓶頸,尤其在攻擊流量和背景流量同時存在的情況下,可能導致裝置負載過高,從而影響正常業務的運行;另一方面,以往的DDoS防護裝置和防火牆系統都有著千絲萬縷的聯絡,所以其防護功能主要在協議棧的三層/四層實現,這類裝置針對目前承載在應用程式層協議之上的DDoS攻擊防護乏力。

  正是因為如此,我們應該從架構上對整個抗拒絕服務的攻擊裝置進行重新設計,以達到從效能、功能以及穩定性上滿足目前DDoS防護的進一步需要。

  抗海量拒絕服務的攻擊,可謂疏與堵的一場博弈。

  決勝的棋子

  日前,綠盟科技新推出的黑洞2000產品,具備了應對海量DDoS攻擊的能力。它不僅支援傳統的串聯模式,同時還基於流量牽引的技術,實現了旁路工作模式。一方面,旁路模式消除了網路中的單點故障,避免了由於裝置本身故障或負載過高對網路造成的影響;同時,通過流量牽引,黑洞2000可以只針對已經分流後的攻擊流進行重點防護,從而提高了應對海量DDoS攻擊的承付能力。

  除了穩定性和效能,黑洞2000相對於原有型號的產品有了質的飛躍,更為重要的是,旁路模式支援多種複雜網路環境的部署。例如,針對城域網的核心層網路的DDoS攻擊,黑洞2000就提供了基於MPLS的遠程流量牽引;針對城域網匯聚層之下的DDoS攻擊防護,黑洞2000產品實現了L3->L2的流量牽引和注入機制。而在大型IDC或電子商務網站入口,一般都是冗餘網路環境,如果採用黑洞2000就能夠對這類應用提供良好的支援,在保證網路可靠性要求的同時,也節省了大量的裝置投資成本。

  黑洞2000的推出,從真正意義上實現了對複雜網路環境下的海量DDoS攻擊的防護。其64位元組下的千兆線速的處理能力、複雜網路環境下的旁路工作模式、針對應用協議的優異的防護演算法,不僅是其鮮明的特徵,也是評價下一代抗拒絕服務的攻擊系統優劣的重要指標。黑洞2000作為抗拒絕服務的攻擊的網關型裝置,旁路模式的支援,標誌著綠盟科技對於大型網路和複雜網路下的抗拒絕服務的攻擊防護達到了國際水平。黑洞2000目前已經在電訊廠商、金融行業的多家使用者的關鍵項目上得到了應用,保證了其關鍵業務免受DDoS攻擊的影響。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。