DDoS防护亟需下一代解决方案
139w.com 鼎点网络
一 、DDoS***格局的巨大改变
在过去3年,Spamhaus黑名单长度剧增达到了难以置信的数十亿条;同时,随着IoT物联网的蓬勃发展,到2020年物联网设备的数量预测将超过500亿台,随之而来的物联网终端的***与威胁将与日俱增。
一切预示着全新安全***时代的到来。研究表明,企业不能再仅仅依赖于针对阻止单一***而设计,操作繁琐、行动迟缓、防护粗暴的过时Anti-DDoS 设备。
DDoS***的动机不断变化
IDC行业研究表明,DDoS***动机越来越宽泛,包括恶作剧、政治原因、财务收益或盗取知识产权。近期发生的很多***事件表明,任何机构不论规模大小、所处位置、及所属行业与否都是DDoS的潜在***对象;
DDoS***的体量迅速增大
传统的DDoS***通常是指全面泛滥的恶意通信,导致网络瘫痪、中断、业务受损。但是,随着当今海量物联网设备加入互联网,Mirai僵尸网络源代码的引入,以及像Reaper和Satori这样的Mirai衍生产品,这些因素大大增加了DDoS的***体量和便利度。
近期引人注目的大型***之一是对知名记者 Brian Krebs 的网站的***,这标志着庞大物联网威胁的开始。***流量超过了 620Gbps,甚至导致DDoS 防御提供商无法承受巨额清洗成本,最终被迫与客户分道扬镳。
这种类型的***将会持续下去,而利用新一代媒介来破坏业务关键型服务的***也会持续发生。
DDoS***的种类日渐繁杂
早期的DDOS***的主要对象主要是对准OSI七层模型中的网络层和传输层,***手法也比较单一,ICMP Flood, Smurf Attack, IP/ICMP Fragmentation、Syn Flood、UDP Flood、TCP Flood等是主要的一些***种类。由于每次***覆盖的层面较少,还比较容易拦截。
随着技术的发展,现在的***层面已经覆盖OSI 七层模型中的所有层面。如下图所示,不同的层面都有不同类型的***。从物理层的信号Sniffer, 到传输层的放大***和长连接TCP会话***,最终到应用层的针对DNS的***、各种HTTP加密***和慢速***等,***手法和***种类都发生了极大进化。
与传统的***形式相比较,当今***种类变得日益丰富,原来的***只是针对OSI七层模型中的一到两个层次进行,主要是网络层***或传输层***。现在的***者可以在OSI七层模型中的任意一层展开多点***,同时***者还可以同时对所有的层面发起***。
当今所说的多向量***,就是在一次***活动中使用多点多层次的***方法来进行全方位的***。只要企业防御机制中的一点被攻破,***者就可以利用该点获取被***者更多的信息,从而寻找新的漏洞,进一步针对性的改变***方法,最终导致被***者的防御体系失效,致使被***者不能提供正常服务。 由于此类***行为使用的***方法繁多,可以针对OSI七层模型中的所有层面,而且***方法会随着情况的变化而快速演变,这对企业的安全防御机制和人员素质提出了很高的要求,为企业的安全带来了众多新的挑战。
二、企业面临的空前挑战
调查显示,随着DDoS***格局的巨大变化,近 30%的受访者去年遇到6至10次DDoS***,超过10%的受访者遇到 51至100 次***。
不幸的是,即使是已经部署了传统DDoS防护设备的大部分企业也不具备必要的人力与技术资源来应对迅速变异的DDoS***。
除了DDoS***频率之外,企业在应对当前DDoS***威胁时还面临几项关键挑战:
当***来临时,
如何在最短时间内定义***源?
如何精准清洗,保护合法流量?
如何定制化保护海量被保护对象?
如何最大限度降低人为因素对保护
效果的影响?实现简易部署自动化操作
如何和自身的运维系统简易融合?
与其他安全领域类似,受制于DDoS***格局的迅速演变,无论是传统方案提供商还是企业运维方在DDoS防护领域普遍存在技能差距,这会影响到企业抵御DDoS ***的能力。同时,由于新一代DDoS ***本身的技术特性,对于企业IT主管而言难以证明 DDoS 防护的投资回报(因为它是一种“可能”发生的***),部分企业难以安排专门和适当的资源来抵御***。
因此,企业不能再依赖于传统的、只针对阻止单一***方位而设计的DDoS防护。
防御措施必须划分层次,保护企业免受内部和外部***,以及对基础设施和个人应用的***。
因此,企业需要通过转向下一代DDoS防御解决方案从而获得各种效率。下一代方案的价值表现为:
首先,下一代DDOS防御方案支持企业应对大范围和大规模的各种不同***,并且在阻止***的同时不会对正常业务造成影响。更确切地说,下一代方案可以精准阻止特定***,而不仅仅是将流量转送到空IP地址,这将保障被***状态下的业务能够继续正常运营。
其次,许多***在设计时,意在通过模拟合法流量来欺骗传统的DDoS防御体系。而下一代解决方案足够智能,可以将***流量与合法的大带宽流量区分开来,并采取不会影响合法用户的适当行动。
并且,下一代DDoS解决方案的另一大关键优势是能够利用智能威胁情报分析来更好地定义特定衍生性***。
最后,下一代解决方案可以使用自动编排响应来改善防护相应时间,从而降低企业总体成本和对运维人员的专业度要求。随着机器学习和人工智能(AI)融入下一代方案,防护系统变得更智能,能够协助运维人员更快地做出自动化判断、决策与行动。
三、下一代DDoS防护方案
针对当前DDoS***与防御的现状分析,对下一代DDoS防御提出了新要求
混合防御:可以为企业提供一个针对网络层***、应用层***、大流量***的单一向量***防御以及多维度、多向量的混合***防御的全面解决方案,在遇到各种泛洪型、协议漏洞型和其它复杂应用***的情况下确保服务可用性。
至高性能:出色的性能和可扩展性可轻松应对最大规模的***。确保即使最大规模的DDoS***也可以得到有效应对以及快速的执行安全策略,为客户提供针对多维度***的最广覆盖范围。
精准采样与定义:利用对流量进行精准探测,并通过流量分析速率,于流量采样3秒后完成***检测,与此同时,通过内置的常见DDoS***类型、多样化的身份验证方式、亚秒级流量与连接速率控制、协议和应用行为检查、精准的应用请求速率限制等功能,实现对被保护对象的高效、精准威胁防护。
自动化:全自动化的配置编排贯穿整个***生命周期,根据***的严重级别进行策略自动升降级,减少耗时的人工干预与误报的附带损害,实现自动防护和威胁级别管理。最终完成各类***的自动缓解并报告受保护对象和服务以及DDoS事件详细信息。
智能化集成:解决方案不仅支持 IPv6,还可主动防御对 IPv6 协议和网络的***。同时支持可编程的策略引擎以及全面的APIs,用于与第三方系统进行集成。
原文地址:https://blog.51cto.com/14306961/2400968