虽然DDoS(分布式拒绝服务攻击)早已是黑客的重量级武器,但其性质和影响却是今非昔比了。它已经成为众多通过网络从事业务的公司的重要威胁,它变得更强大、更具有针对性,也更加复杂,会严重的影响企业的信誉。
虽然DDoS(分布式拒绝服务攻击)早已是黑客的重量级武器,但其性质和影响却是今非昔比了。它已经成为众多通过网络从事业务的公司的重要威胁,它变得更强大、更具有针对性,也更加复杂,会严重的影响企业的信誉。而且,一些业余黑客也能够发动该攻击,或者利用僵尸网络为其工作。
由于DDoS已经发生了明显的变化,传统的DDoS减轻策略,如提供充足带宽,防火墙,入侵防御系统等设备都无法充分保护企业网络、应用程序和服务。Arbor Networks总结世界知名企业挫败DDoS攻击和其它攻击的案例,推出了可以帮助企业有效应对DDoS攻击的Pravail可用性保护系统( APS) 。
就DDos威胁的复杂性和对业务造成的影响而言,需要一个全方位的解决方案。许多管理人员对解决DDoS 挑战的常见反应就是,相信他们的防火墙和IPS基础设施将保护他们免受攻击。不幸的是,这不是真的。尽管防火墙和IPS设备对网络中保护至关重要,但它们不足以防御 DDoS 攻击。下面我们来讲解一下Arbor如何防范DDoS 攻击及云环境下的攻击检测。
完整性和机密性与可用性的矛盾
许多管理人员依赖防火墙和入侵防御系统,此类系统已扩展了处理DDoS攻击的功能。防火墙和IPS 设备专注于完整性和机密性。这些产品是为其他安全问题(实施网络政策和阻断入侵企图)而设计的。这些功能不能轻易扩展以便处理针对网络和服务可用性的威胁--DDoS 攻击的焦点。防火墙和IPS设备无法组织广泛的分布式攻击或是用尖端的应用层攻击手段发起的攻击。 Arbor通过研究, 发现许多 DDoS 攻击针对防火墙和IPS设备。
防火墙和IPS可成为DDoS攻击的目标,因为他们是有状态的。有状态的设备跟踪连接中通过网络的每个数据包以查找恶意活动,并具有一套内置机制以防御已知威胁。由于许多DDoS 攻击具有耗尽状态的性质,因此防火墙和IPS设备可能在攻击过程中失效。例如, Sockstress 攻击,此类攻击可打开套接字来填充连接表,从而淹没防火墙和IPS设备。
Arbor防止您的业务遭受DDoS威胁
Arbor认为应对像DDoS这样的复杂威胁需要分层安全解决方案。首先 ,企业必须保护他们自身免受大流量和状态 耗尽 DDoS 攻击,此类攻击可通过使用由一些互联网服务提供商或托管安全服务运营商提供的基于云的保护服务,令企业的互联网连接达到饱和;其次,企业必须使用基于边界的解决方案来防御应用层 DDoS 攻击。此外,基于边界的解决方案可通过让企业控制他们对 DDoS 威胁的响应来为企业提供保护。
基于云的DDoS保护
企业必须与上游IPS和MSSP合作以便防御大型洪水攻击。由于大部分DDoS 攻击仍然是大流量或洪水攻击,企业应该要求他们的提供商提供干净的管道。
基于边界的DDoS保护
Arbor Networks的Pravail可用性保护系统( APS)专注于应对DDoS威胁,保护其他基于边界的安全设备和基础设施免受攻击的影响。Pravail APS的唯一目的就是阻断可用性威胁,它可检测和阻断应用层攻击、TCP状态耗尽攻击和大流量攻击。通过组合使用包含实时ATLAS智能预警系统在内的机制,Pravail可防御和阻止最复杂的DDoS 攻击。
但由于它是一种基于边界的解决方案,它无法处理使互联网连接达到饱和的攻击;要处理此类攻击,我们需要使用基于云的保护,Pravail APS可使用Arbor的云信令协议来自请求基于云的保护,从而确保完全阻断采用负责的、多种攻击手段发起的威胁。
开包即可使用的防护产品
在许多情况下,新的安全设备的部署需要调整和冗长的集成过程。Pravail APS的开发目的是使管理员能够以最小的配置安装产品并立即阻断所有攻击。虽然针对常见DoS/DDoS 攻击类型的保护是自动的,但也具备供高级用户使用的手动配置选项。
ATLAS智能预警(AIF)也向设备提供有关新兴攻击手段的信息,以便可以自动处理此类攻击。Pravail APS提供有关攻击、受阻主机和服务流量的实时报告。管理人员将可以更好地理解流量和针对他们的任何攻击的性质。
先进的DDoS阻断能力
Pravail APS可以应对管理人员处于DDoS 攻击时所面对的日益严峻的挑战。通过使用一系列反制措施,Pravail APS检测和阻断DDoS 攻击,尤其是在云环境下难以检测的攻击。
僵尸网络威胁缓解
在Arbor安全研发团队的支持下,Pravail APS自动接收新威胁的更新,而无需进行软件更新。这是通过AIF来完成的。此类威胁可在它们影响服务前被主动阻断。
云信令
Pravail APS提供综合性的解决方案以有效地检测和阻断所有DDoS 攻击,因为它可以通过云心里实现边界服务和基于云的服务的紧密集成。为实现此目的,Arbor已推出了由庞大的不断增多的ISP和MSSP组成的云信令联盟,该联盟随时准备从Pravail APS接受云信令。
结论
显然,DDoS 攻击在规模和复杂性方面持续增长。而且,攻击背后隐藏的动机已不断拓展,业已涵盖意识形态黑客行动主义和互联网恶意破坏行为。这使得从社交网络到在政府部门中的每个人都面临攻击风险。DDoS 攻击的数量持续增长,DDoS仍然是一个不断发展的威胁。
管理员需要了解,传统的安全设备不足以保护网络及其提供的服务。尽力扩展这些产品的功能以防御DDoS攻击这一做法已被证明是无效的。颇值一提的是,尽管这些产品对组织的防御系统至关重要,但用于防御本地或云中的DDoS 攻击的产品与之迥然不同。企业必须具备恰当的基于边界的产品,同时也必须具备合适的云解决方案。两全其美的办法是以无缝、自动的方式结合边界和云解决方案。
网友评论