返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
DDoS攻击防护:对速度的需求
2018-03-20 IT运维网 / Arbor Networks金大刚

      速度对于DDoS攻击防护起着至关重要的作用。大量“突发性洪水”攻击会在一瞬间突然出现,并在几秒钟内增加至数百千兆字节。起初应用可能看起来工作正常,但之后会突然无法使用,而且找不到明显的原因。当用户已经意识到受到攻击时,可能已经对业务产生了严重的损害。

      DDoS攻击通常同时攻击多个目标,从带宽到应用再到现有基础设施,包括网络防火墙、网络应用防火墙(WAF)和入侵防护系统(IPS)无一例外。攻击正变得越来越多层次,它利用各种攻击方法和牵制策略攻破防御措施。保护业务和保持服务可用性的能力直接取决于对这些多层次威胁的响应速度。

 

决定响应速度的三个关键因素

      那么,如何才能利用短短数秒的珍贵响应时间并使之对己有利?重点是把握决定响应速度的三个关键因素:

      检测:检测DDoS攻击的速度是快速缓解风险的首要功能,也是最基础的功能。在这一方面,解决方案的选择对于风险预测具有重要意义。是否检查防御措施并为防火墙添加新功能?是否选择专为抵御DDoS攻击打造的防御措施?这两者有什么区别?为什么这么重要?

      IPS设备、防火墙等安全产品是分层防御策略的基本组成部分,但它们针对解决的问题与专业的攻击检测和风险缓解产品有着根本的不同。例如,IPS设备阻止引起数据失窃的非法入侵企图,而防火墙作为策略执行程序可以防止非法数据访问。虽然这些安全产品可以有效解决“网络完整性和保密性”问题,但无法解决与DDoS攻击相关的根本问题——“网络可用性”。

     防火墙和IPS设备的局限性正是智能DDoS缓解解决方案(IDMS)的重要优势。

·         IDMS是非状态型解决方案,换言之,它不跟踪所有连接的状态。防火墙或IPS等状态型设备容易受到DDoS攻击,只会让问题更加严重。

·         IDMS解决方案不依赖目标受到攻击后创建的签名,而是为多种攻击应对措施提供支持。这让开箱即用的防御措施能够抵御大部分攻击类型。

·          IDMS解决方案支持各种部署配置,更重要的是,它允许在需要时进行带外部署。这种灵活性可以提高解决方案的可扩展性,这正是应对规模持续扩大的攻击所需要的。

·         为了真正解决“分布式”DoS攻击问题,IDMS提供了一种完全集成的解决方案,支持分布式检测方法。IPS设备只是利用基于片段的检测方法,会漏掉重要的攻击行为。

      自动化:如今,自动化是守护安全的神圣卫士,它有助于解决人员供给难题,对确保响应速度发挥关键作用。好消息是,借助正确的IDMS通常可以在安全操作人员意识到攻击之前自动检测攻击并启动风险缓解措施。IDMS解决方案融合数十种内置自动防御措施,每一种都是针对特定的攻击类型专门设计。

      部署混合攻击防御措施会组合使用本地威胁缓解方案和云端威胁缓解方案,当攻击规模达到特定阈值时,IDMS发出的信号可以立即自动激活云端防御措施。由于攻击规模变得越来越大,而攻击方法涉及越来越多的应用层,这一点尤为重要。

      响应:成功防御DDoS攻击首先需要具备正确的技术解决方案,但这还远远不够。有时,即使DDoS防御设备在多个方面实现了自动化,例如预安装应对措施和连接配置云端缓解方案,人在响应和整体防御中依然扮演重要角色。安全团队需要时刻准备识别威胁并毫不迟疑地做出响应。当面临攻击压力时,准备工作是建立“组织响应能力”、加快事故响应速度的关键。

      用户需要关注的三个关键问题:

·         是否制定了DDoS事故响应计划?

·         对于可能受攻击影响的网络、应用和服务团队,是否知道如何在整个组织内进行升级?

·         是否有针对法规或合规性问题、客户、投资人和合作伙伴的沟通计划?

      NETSCOUT Arbor数十年的DDoS缓解经验已经证明,这种做法对于快速、有效地进行事故响应至关重要。在抵御DDoS攻击时,忽略人的关键作用对业务造成的危害与选择错误的解决方案会造成同等严重的后果。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读