網絡分流器-網絡分流器-DDoS×××與防護
戎騰網絡分流器
DDOS ×××是什麼?DDoS(分佈式拒絕服務)×××就是×××者發起的一個嘗試,目的是耗盡可用於網絡、應用程序或服務的資源,以至於真正的用戶無法訪問這些資源。
從 2010 年開始,並在相當程度上在×××行動主義興起的激勵下,DDoS ×××有所回升,從而刺激了工具、目標和技術等領域的創新。
如今,DDoS ×××已經演變成一系列×××,包括非常大規模的、更微妙的、不易檢測的×××,針對應用以及現有的安全基礎設施如防火牆和 IPS。
戎騰網絡移動互聯網採集器
DDOS ×××不同的類型有哪些?DDoS ×××變化顯著,並且一個×××可以執行的不同方式有上千種(×××源),但是一個×××向量一般可歸於三大類之一:
容量耗盡×××:試圖消耗無論是目標網絡/服務範圍內、還是在目標網絡/服務和互聯網其餘部分之間的帶寬。這些×××只是會造成擁堵。
TCP 狀態表耗盡×××:這些×××試圖消耗許多基礎設施組件(例如負載均衡器、防火牆和應用服務器本身)中存在的連接狀態表。即使能維持數以百萬計的連接狀態的高容量設備也可以被這些×××搞垮。
應用層×××:這些針對第 7 層上的一個應用程序或服務的一些方面。這些是最致命的一種×××,因爲他們可以甚至有效到少到一個×××機器便可以產生低流量速率(這使得這些×××難以主動檢測和清除)。這些×××在過去的三、四年中普遍發生,並且簡單的應用層泛洪×××(HTTP GET flood 等)已經成爲在外界發現的最常見的 DDoS ×××之一。
今天老練的×××者針對基礎架構設備將容量耗盡×××、狀態表耗盡×××和應用層×××混合成一個單一的、持續的×××。這些×××很受歡迎,因爲它們難以抵禦,往往非常有效。
但問題並沒有結束。據 Frost & Sullivan 說,DDoS ×××是創新“越來越多地被用作牽制戰術以進行有針對性的持續×××。”×××者正在發起 DDoS ×××以分散網絡和安全團隊注意力,同時試圖向網絡中注入惡意軟件,目的旨在偷取 IP 和/或關鍵客戶或財務信息。
爲什麼 DDOS ×××如此危險?DDoS 代表對業務連續性的一個嚴重威脅。隨着組織變得越來越依賴於互聯網和基於網絡的應用程序和服務,可用性變得如同電力一樣重要。
DDoS ×××不僅對明顯需要可用性的零售商、金融服務及×××構成威脅。DDoS ×××也針對你的組織用以管理日常運營所依靠的關鍵業務應用,如電子郵件、銷售力自動化、CRM 和許多其他應用。此外,其他行業如製造業、製藥和醫療保健行業,擁有供應鏈和其他業務夥伴日常業務運營所依賴的內部網絡性能。所有這些都是當今老練的×××者們的目標。
DDOS ×××成功的後果是什麼?當一個面向公衆的網站或應用程序不可用時,可能會導致客戶憤怒、收入損失和品牌受損。當業務關鍵應用變得不可用時,運營和生產力陷於停頓。合作伙伴所依靠的內部網站意味着供應鏈和生產中斷。
一個成功的 DDoS ×××也意味着你的組織已經邀請了更多的×××。你可以期待×××一直持續到更強大的防禦部署。
你用於 DDOS 防護的可選方案有哪些?鑑於 DDoS ×××的高姿態性質及其潛在的破壞性後果,許多安全供應商也已經突然開始提供 DDoS 防護解決方案。有這麼多方案取決於你的決定,關鍵是要了解你的可選方案的優點和缺點。
現有的基礎設施解決方案 (防火牆、***檢測/保護系統、應用交付控制器/負載均衡器)IPS 設備、防火牆和其他安全產品都是分層防禦策略中的基本要素,但是它們的設計用途是解決安全問題,這與專用的 DDoS 檢測和緩解產品具有本質上的區別。例如,IPS 設備可以阻止那些以盜竊數據爲目的的***企圖。而防火牆則扮演着政策執行者的角色,防止未經授權的數據訪問。雖然這樣的安全產品有效解決“網絡的完整性和保密性”,它們不能解決涉及 DDoS ××ד網絡可用性”的一個基本問題。更重要的是,IPS 設備和防火牆是有狀態的、內嵌的解決方案,這意味着它們很容易受到 DDoS ×××而且 他們自身常常成爲×××目標。
類似於 IDS/ IPS 和防火牆,ADC 和負載均衡器沒有更廣泛的網絡流量可視性,也沒有集成威脅智能感知,並且它們也是有狀態的設備易於受到狀態耗盡×××。狀態耗盡威脅、容量耗盡威脅以及混合應用級別×××的增加,使得 ADC 和負載均衡器成爲需要最佳 DDoS 防護的客戶的一個有限和局部的解決方案。
內容分發網絡 (CDN)事實是,一個 CDN 可以解決一個 DDoS ×××的症狀,但只是吸收這些大量的數據。它允許所有的數據流入和流出。全部都是受歡迎的。這裏有三個注意事項。第一,必須有帶寬可用於吸收該大規模流量,其中一些基於容量的×××超過 300 Gbps,並且所有的容量能力都有代價。第二,CDN 周圍有路徑。並不是每一個網頁或資產都將使用 CDN。第三,一個 CDN 不能免於遭受基於應用的×××。因此讓 CDN 去做它要做的事情。
網絡分流器
真正先進的 DDOS 防護的方法是什麼?十多年來,日益進化的專用DDoS防護系統已經保護了世界上最大和最苛求的網絡免於遭受 DDoS ×××。保護你的資源免於遭受現代 DDoS ×××的最好方式是實現一個特別構建的、多層部署的 DDoS ×××緩解解決方案。
你會需要雲保護以阻止今天的大容量×××,需要本地保護以防範隱身應用層×××,以及防範對現有有狀態基礎設施設備如防火牆、IPS 和 ADC 的×××等。你會需要這些功能的組合或是其中一部分。
只有通過緊密集成、多層防禦,你纔可以充分保護你的組織免於遭受各種 DDoS ×××。
雲架構保護方案(緊密集成的、多層 DDoS 防護)
可用性保護解決方案(本地部署)
威脅管理系統(針對大組織的高容量本地部署解決方案)
戎騰網絡的網絡分流器產品向客戶提供他們自己網絡的微觀視圖,結合我們的威脅智能感知架構提供的全球互聯網流量的宏觀視圖,客戶能夠享有強大的、無與倫比的安全防護能力!
