淺析企業DDoS攻擊防御戰略
DDos攻擊作為以消耗服務器資源的攻擊方式,同樣使得企業深惡痛絕。尤其是像電信運營商,服務器遭受DDos攻擊導致服務器無響應的情況,嚴重影響了企業的品牌形象。那么部署DDoS攻擊防御戰略就顯得十分必要了。
企業DDoS攻擊防御戰略:運營商網絡面臨的威脅和挑戰
目前運營商骨干網和各地市城域網,寬帶用戶數量多,網絡結構復雜,業務流量大,DDOS攻擊導致的網絡安全問題時有發生,導致IP網絡整體服務質量下降,已經嚴重威脅到網通IP網絡優質的品牌形象,因此在電信運營商的城域網和IDC層面上開展對DoS/DDOS等攻擊的防范具有必要性,通過安全防范、為用戶提供穩定可靠的網絡服務。
在電信運營商的城域網層面上,分布式拒絕服務(DDOS)攻擊是最常見的攻擊之一。這些攻擊的方法是一些攻擊者通過向目標發送大量的惡意的非法請求,導致計算機服務器和網絡設備的性能降低和網絡服務中斷,或者網絡連接的帶寬達到飽和;在運營商的IDC層面,企業WEB站點的托管服務也越來越多,而分布式的HTTP Page Flood攻擊是最常見的攻擊之一,這種攻擊的方法是一些攻擊者同時向攻擊目標發送大量的正常HTTP請求,導致WEB服務器的性能降低,最終WEB服務中斷,這種攻擊也是目前WEB站點安全威脅中最難防范的攻擊類型。
企業DDoS攻擊防御戰略:DDOS攻擊給運營商帶來的損害
運營商網絡上經常會發生多種類型的攻擊,而且攻擊流量巨大,因此會帶來的嚴重的損害:
服務器資源耗盡:海量的SynFlood等DDOS攻擊會造成運營商自身的以及重要客戶的關鍵服務器資源耗盡,造成關鍵業務應用的中斷,如DNS,WEB等。從而引起大面積的Internet訪問故障和應用停止。給運營商的業務和信譽帶來巨大損害,以及運營商及其用戶的經濟上的無法估量的損失。
帶寬資源耗盡:運營商骨干帶寬資源較為充裕,但是下級客戶接入的帶寬資源有限。大規模的DDOS攻擊可以輕易將客戶接入的帶寬完全占用,而導致大面積的應用無法訪問,或者客戶無法訪問Internet。
企業DDoS攻擊防御戰略:我們如何解決安全威脅
為了防御運營商難以避免的而且日益嚴重的網絡威脅,一些安全廠商也相應發布了自己的DoS/DDOS防御安全解決方案。通過在運營商IP城域網或IDC部署這套安全防御解決方案,能夠讓電信運營商以很少的開支,幫助企業客戶保障網絡安全。
目前能夠提供DoS/DDOS防御安全解決方案的廠商也很多,每個廠商所提供的DoS/DDOS防御機制不同,多數廠商都只是防御已知的DOS攻擊,缺乏對現在流行的“零日攻擊“和應用層攻擊的防御手段;目前業界做得比較好的廠商首推Radware公司的DoS/DDOS防御解決方案,Radware公司是業界第一個提供單臺6Gbits/s吞吐量的廠商。在DoS/DDOS攻擊防御領域具有很多領先的技術,尤其是在防御未知DOS/DDOS攻擊(即“零日攻擊“)方面具有專利性的技術——基于行為的DoS/DDOS防御技術,可以自動學習、自動制定策略和報告。
我公司的IDC中也托管了很多企業的WEB站點,自從業務開展以來,經常遭受到DOS/DDOS、HTTP Flood等各種惡意流量的攻擊,導致客戶無法正常運營,對我司的日常運營和用戶滿意度也造成了嚴重的影響。
現在我公司已經引入了Radware公司提供的DOS/DDOS防御安全解決方案。在唐山分公司的IDC內部署了一臺Radware的DefensePro6000 DOS/DDOS防御設備后,防護效果非常好,繼續發生的UDP Flood、TCP Flood及HTTP Page Flood等攻擊全部被Radware的DefensePro設備攔截。
DOS/DDOS安全解決方案也稱之為DoS/DDOS流量清洗解決方案,即在運營商的城域網或IDC內構建一個全面的DoS/DDOS流量清洗中心,可以對外面惡意流量進入客戶系統之前進行有效的攔截。防止運營商的增值服務受到DDOS攻擊的影響,最大限度的確保其可用性。
DoS/DDoS攻擊防御戰略安全解決方案實現了下列目標:
幫助運營商客戶有效地防御DDOS攻擊,從而最大限度地提高在線服務和業務的連續性。解決方案可以幫助用戶清除攻擊流量和只允許合法流量使用從運營商網絡到客戶網絡的、帶寬有限的連接。運營商將以安全服務托管的形式向企業客戶提供這種保護。同時針對運營商的IDC,還可以利用相同的防御系統防止他們的托管客戶的Web和其他電子商務應用遭受DDOS攻擊。
確保運營商網絡中的網絡資源(例如路由器、DNS、SMTP、電子郵件和WWW)具有足夠的安全性,不會受到DDOS攻擊的影響。
為運營商的增值服務部門提供了一個新的安全服務理念,可以根據客戶對安全級別要求的不同實施相應的安全防護策略,以提供增值服務的價值空間。
【編輯推薦】
