DDoS保护:云溢出

admin 2019-8-14 233

分布式拒绝服务攻击

每个运营面向公共互联网的在线服务的组织都会在某个时间点处理分布式拒绝服务(DDoS)攻击。这通常是针对性的攻击,作为赎金需求或激进主义活动的一部分,大量流量被引导到这些在线服务以使其脱机。攻击可能有多种形式和形式,例如SYN Flood,或NTP或DNS放大攻击,具体取决于攻击者的能力和目标的目标在线服务。

自互联网早期以来,DDoS攻击一直存在。第一次记录的拒绝服务攻击可归因于1974年一名不守规矩的13岁学生,但从那里开始,最初简单的攻击方法已演变成复杂,庞大的僵尸网络领域,具有巨大的产生流量的能力,进一步成倍增加通过放大技术和工具。

DDoS保护

旨在减轻DDoS攻击影响的防御性安全控制已经不断发展,如今它们非常有效。

我们以一个简单的SYN泛洪为例。使用此方法,具有足够容量的攻击者会尝试使用大量SYN请求来淹没其目标,从而消耗所有目标系统资源。一旦所有目标资源耗尽,合法流量将严重延迟或停止,从而导致目标服务脱机。与先前正常流量的“学习”基线相比,高级防火墙或专用DDoS保护设备可以识别其流量中的大部分SYN请求。然后它应该开始丢弃/阻止来自过多SYN请求源的错误流量,直到恢复正常活动。

检测方法从简单的阈值到复杂的算法,响应时间可以短至几秒。当内联时,Radware的DefensePro等一些专业解决方案甚至将机器学习技术应用于正常(和平时期)流量,并在发生攻击时应用于恶意流量。这使它能够尽快检测到任何流量异常,然后将匹配的自定义保护配置文件部署到传入流量,从而降低丢弃合法流量的可能性。

这些保护系统存在缺点。DDoS攻击产生的流量可能很大,超过100 Gbps并不罕见。这意味着任何DDoS保护设备都需要具有大容量才能防止发生相对罕见的事件。购买和操作单个网络的专用系统的成本通常很难证明。另一个问题是,大规模DDoS保护解决方案需要专业人员,配备先进的网络和安全技能。这些专业人员不仅价格昂贵,而且很难找到。一旦运行,DDoS安全团队将需要全天候运行以监控和控制系统,因为一如既往; 攻击者在每个时区内进行操作。

云保护

这就是云DDoS保护解决方案的用武之地。如果发生攻击,所有流量都将通过BGP重定向目标客户向云安全提供商发布广告。在那里,使用前面提到的技术清理(擦洗)流量,并将干净的流量返回给客户。与许多云解决方案一样,构建和维护DDoS保护解决方案的巨大成本有效地分散在众多云客户身上。考虑到这些客户中只有一小部分同时受到DDoS攻击,这是一种非常具有成本效益的解决方案。即使这个解决方案仍然不便宜。这些供应商维护着遍布全球的许多所谓的洗涤中心的大型网络,以便有效地满足每个地理位置,这是昂贵的。另一个潜在的问题是,没有当地的洗地中心,所有流量(包括DDoS流量的重要部分)都需要发送到另一个区域,即使在小型攻击的情况下也会导致延迟和拥塞。向海外发送某些流量也可能会产生一些合规性问题,尤其是对于与政府相关的组织。

混合保护:云溢出

这就是许多DDoS保护供应商也提供混合模型的原因。与内部部署和完整云解决方案相比,此模型知之甚少。然而,通常所谓的“云溢出”或“混合”解决方案汇集了两个世界中最好的一些。在此模型中,较低容量且通常是完全自动化的内部部署解决方案可以处理较小的DDoS攻击。当攻击变得太大或太长而无法在本地处理时,可以将溢出配置为将全部或部分坏流量发送到供应商云保护解决方案。特别是从成本角度来看,这种解决方案具有巨大的优势。考虑到本地设备只需要能够处理较小的DDoS攻击,硬件的初始购买成本是有限的。云保护的成本也将受到限制,因为大多数DDoS攻击将在本地缓解,并且根本不需要任何溢出。从安全角度来看,这种方式涵盖了所有可能的攻击范围。一些领先的DDoS供应商如Arbor Networks,Radware和Imperva提供这些混合选项。

结论

在寻找具有成本效益和整体的DDoS安全解决方案时,当然需要考虑混合DDoS解决方案。Cloud Overflow为具有显着依赖面向Internet的服务的本地网络的公司提供了最佳选择,但这不足以保证其自身的全面DDoS保护部署。

DDoS攻击是不可避免的,但由于可用的安全控制范围广泛,其影响通常可以经济有效地受到限制。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:CentOS 7快速开放端口
下一篇:在 Surface Go安装了Ubuntu Budgie的UEFI 问题
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回