隨著DDoS攻擊越來越頻繁的威脅到基礎業(yè)務系統和數據安全,如今每個公司都會考慮選用具有DDoS攻擊能力的服務器產品,把安全防護的需求交給專業(yè)的服務提供企業(yè)是現在普遍的防護手段。通常大型數據中心都會使用旁路部署技術來應對:抗拒絕服務產品可以不必串聯在原有網絡中,除了減少故障點,而且由于大多數帶寬不必實時通過抗拒絕服務產品,因此一個較小的抗DDoS清洗容量就可以適用于一個大帶寬的網絡中,有效的降低投入成本。旁路工作原理如下:
·攻擊檢測:通過配置鏡像接口或Netflow方式感知到有攻擊流量,判斷是否有拒絕服務攻擊發(fā)生。
·流量牽引:確定發(fā)生拒絕服務攻擊后,利用路由交換技術,將原本要去往受害IP的流量牽引至旁路ADS設備。被牽引的流量為正常流量與攻擊流量的混合流量;
·攻擊防護/流量凈化:ADS設備通過多層次的垃圾流量識別與凈化功能,將拒絕服務攻擊的流量從混合流量中分離、過濾;
·流量注入:經過ADS凈化之后的正常流量被重新注入回網絡,到達目的IP.
采用旁路部署,具有以下優(yōu)勢:僅在IPS等安全設備報警時與之聯動,開始自動注入混合流量,平時正常情況下并不工作;設備旁路部署即使ADS出現故障也不會影響網絡連通性;多機并用成倍提升清洗能力;支持手動/自動牽引流量,讓安全工程師與安全設備互補。
一級運營商管理運營豐富的骨干網帶寬資源,對于大流量及超大流量DDoS攻擊具有先天性的壓制優(yōu)勢,運營商是整個網絡的支撐者,所有的攻擊流量都必須通過運營商,如果在運營商層面全面的打擊DDOS攻擊行為,將能起到一勞永逸的效果,所以運營商應當為用戶打造抗DDOS的堡壘。
對于運營商而言,保證其網絡可用性是影響ROI的決定因素。如果運營商的基礎網絡遭受攻擊,那么所有承載的業(yè)務都會癱瘓,這必然導致服務質量的下降甚至失效。同時,在目前競爭激烈的運營商市場,服務質量的下降意味著客戶資源的流失,尤其是那些高ARPU值的大客戶,會轉投其他的運營商,這對于運營商而言是致命的打擊。所以,有效的DDoS防護措施對于保證網絡服務質量有著重要意義。另一方面,對運營商或是IDC而言,DDoS防護不僅僅可以避免業(yè)務損失,還能夠作為一種增值服務提供給最終用戶,這給運營商帶來了新的利益增長點,也增強了其行業(yè)競爭能力。
目前大部分的DDOS攻擊都會使用偽造的IP地址,尤其是反射型的DDOS攻擊,如果不使用偽造的IP將無法攻擊,如果運營商在全網開啟源IP的校驗,是不偽造的IP無法進入互聯網則可以從源頭上制止DDOS攻擊。另外,使用溯源技術:因為在全網開展源地址驗證可能會難度很大,但是防DDOS的關鍵又在源地址上,所以應該使用各種溯源技術,在攻擊發(fā)生時迅速找到攻擊源,取證并切斷攻擊源的網絡,使攻擊止于源頭。
對于普通用戶的網絡接入,應盡量給與私網IP地址,然后通過NAT多個用戶公用同一IP,這樣第一節(jié)省了IP地址,第二,普通用戶發(fā)出的各種報文的源地址都會被NAT替換成真實的地址,防止源地址偽造。第三,也有利于普通用戶的安全,這相當于多了一道防火墻,能夠阻擋大部分來自公網的主動連接,比如掃描等行為?;蛘甙裪p報文頭中未實際使用的部分,比如八位的QOS標志、IP選項字段,加入對來源標識功能,每個接入層的路由交換設備帶有不同的標致,可以通過報文攜帶的不同標志找到它的大體發(fā)送源。
運營商一定要高度重視自身網絡設備的安全性,不要讓網絡設備成為反射放大器甚至被黑客控制,因為運營商在網絡中起到只管重要的作用,如果黑客遠程關閉一臺核心交換機將比任何DDOS攻擊危害更大效果更明顯。在各地區(qū)建立流量清洗站,清洗DDOS流量,并且為企業(yè)提供清洗服務,將DDOS流量轉入清洗站清洗,如遇特大型DDOS攻擊時,可以共同分擔清洗任務??傊?,云計算公司有很大的計算能力,運營商有很大的帶寬資源,強強聯合能極大提升抗DDOS能力。
在DDoS攻擊中,攻擊方和防御方就像兩名棋局上的棋手,見招拆招,根據對方的改變而改變自己的攻擊/防御方法,僅僅通過一種方式就打癱一個目標是很難實現的,僅僅靠ADS設備去自動的防御所有攻擊是不現實的,不論實在攻擊還是防御中,人都應該處在主導地位,通過安全人員的專業(yè)知識與經驗,合理的使用和配置防御設備才能更好的防御住來自于各方的各種DDOS攻擊。