10月11日消息(张海龙)目前,DDoS攻击正成为网络攻击中最为常见的攻击类型,而随着攻击型态演变,DDoS正呈现出攻击量不断攀升、攻击复杂度愈来愈高、攻击频率增加三大趋势。
这让传统保护已经无法有效侦测阻挡DDoS,作为全球DDoS防御领军企业,Arbor Networks认为,阶层式DDoS防御才是有效并全方位的解决方案。
Arbor Networks大中华区总经理金大刚认为,阶层式DDoS防御具备六大特征:
第一,驻地端防护设备必须 24 小时全天候主动侦测各类型DDoS攻击,包括流量攻击、状态耗尽攻击与应用层攻击;
第二,驻地端防护设备只要侦测到攻击流量,皆可立即阻档;
第三,必须自动挡下探子马,藉此推迟黑客刺探军情的频率,以绝后患;
第四,为了避免出现如同防火墙等设备附加功能的弱点,因此用户务必慎选无状态表架构的防护设备,以免黑客而耗尽连接数量上限而攻击得逞;
第五,用户宜跳脱设备规格的军事竞赛思维,不需过度计较其吞吐流量多大、操作界面多强,而应关注其是否深具智慧,智慧的高低,取决于设备原厂是否有能力搜集大量资料,藉由云端大数据分析萃取攻击样本,继而以最快速度产生攻击特征码,终至回馈到前端设备;
第六,需本地与云端联动,从而进行高效的DDoS防御。
事实上,这也是各大分析机构的共识,Gartner、IDC、Frost & Sullivan、 Ovum 、 Infonetics不约而同倡议“Layered DDoS Attack Protection”概念,即由多层次防御手段,达到阻挡DDoS攻击的效果。
不过,金大刚认为,目前市场上众多的DDoS防御解决方案并不能真正解决DDoS攻击。例如,CDN对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用,在与后台主机的联机信道中,会充斥大量对话,其中可能存在恶意流量。
至于区域性电信运营商,由于无法主动侦测应用层攻击、或状态耗损攻击,再加上即使勉可过滤攻击流量,但因容量有限,只要容量用尽便无法执行清洗,或将导致后续正常封包,也将被丢弃。
而国际流量清洗中心利用海外机房执行清洗任务,迫使用户必须绕一大段路才能接受过滤服务,难免造成延迟,大大降低服务质量。此外,防火墙或IPS等设备商则有着最大连接数的限制。
对此,Arbor Networks推出了阶层式DDoS防御解决方案,通过APS(Pravail Availability Protection System)对流量进行检测清洗,当APS遭遇难以排除的攻击流量,便通过云端清洗中心展开流量过滤,从而保障网络能够及时有效抵御DDoS攻击。
尤其值得一提的是,Arbor Networks拥有全球95%主流电信运营商客户,通过和全世界300多家电信运营商的合作关系,Arbor的研究中心可以实时接收这些电信运营商提供的样本流量信息。因此Arbor掌握了全球逾四成因特网实时流量信息,可比竞争对手更快察觉新型攻击样态,从而实时建立指纹知识库,协助用户得以及时侦测并防御恶意攻击。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
