近期,分布式拒絕服務(DDoS)攻擊流量再創(chuàng)新高�����。相關報道顯示,某歐洲組織遭遇2.4 Tbps DDoS攻擊�����,遠高于2020年6月Akamai平臺探測到的1.44 Tbps���、每秒8.09億個數(shù)據(jù)包(Mpps)整體規(guī)模��。
近期����,分布式拒絕服務(DDoS)攻擊流量再創(chuàng)新高����。相關報道顯示���,某歐洲組織遭遇2.4 Tbps DDoS攻擊���,遠高于2020年6月Akamai平臺探測到的1.44 Tbps、每秒8.09億個數(shù)據(jù)包(Mpps)整體規(guī)模���。
NETSCOUT《威脅情報報告》顯示,2021年上半年����,網(wǎng)絡犯罪分子發(fā)動了約540萬次分布式拒絕服務(DDoS)攻擊���,較2020年上半年增長11%,預計全年DDoS攻擊將超過1100萬次����。
面對規(guī)?���?涨?���、攻擊手段多樣化的DDoS威脅��,在未來的“網(wǎng)絡攻防戰(zhàn)”來臨之前��,采取行動的同時也要擁有正確的防御認知。然而���,或因新聞誤讀、或因廣告過度宣傳��,許多DDoS防御的“流行說法”���,往往在片面表述、誤導用戶�����。
伴隨著攻擊規(guī)模的逐年上升,安全專業(yè)人員在設計DDoS防御解決方案時���,會著重考慮防御服務總容量���。事實上,DDoS防御的實際能力����,并不完全體現(xiàn)在總容量之中����。這就需要我們弄清楚幾個問題:
·有多少網(wǎng)絡容量專門耗用在攻擊流量方面�����?
·有多少緩解系統(tǒng)資源專用于阻止攻擊����?
·有多少網(wǎng)絡和系統(tǒng)資源可用于向該平臺上的所有客戶群傳送安全流量��?
換句話說��,DDoS攻擊流量和正常客戶流量�����,需要區(qū)別對待?��?側萘浚刹淮砜捎镁徑赓Y源��,體現(xiàn)DDoS真實防御能力�����,在于能有效發(fā)揮安全作用或優(yōu)化緩解措施的對應容量��。
Akamai提醒您,要深入了解安全供應商描述的網(wǎng)絡總容量與可用于緩解攻擊的容量��,并關注平臺穩(wěn)定性��、安全流量交付利用率這一類關鍵指標,從而有效部署DDoS防御措施���。
一旦DDoS攻擊發(fā)生�����,在防御整體周期中,用戶當然期待耗時越短越好����。由此,宣傳廣告在對“緩解時間”上的解讀����,往往模糊處理�����、并非從監(jiān)測到DDoS攻擊到實際停止的整體時長。從本質上看����,緩解時間���,意味著在不會影響正常流量和網(wǎng)絡性能的情況下,DDoS防御阻截惡意流量的響應速度���。
而單從時間上看���,緩解時間的解讀空間并不準確����。例如��,某些供應商可能會等到流量持續(xù)激增5分鐘以上���,才將其判定為DDoS攻擊��。由此,SLA計時器啟動時����,DDoS攻擊已經(jīng)過去了5分鐘��。相比之下,廣告中所說的10秒緩解時間�����,“刻意”忽略了此前這5分鐘�����。此外,還有一些供應商�����,則將緩解時間局限為部署緩解措施�����,同樣會遠低于整體用時。
Akamai提醒您����,整體緩解時間應當定義為網(wǎng)絡恢復總體時長����,這才是關乎終端用戶體驗的真實時長�����。為便于您研究SLA中所列緩解措施的時間細節(jié)��,可參照下方公式:
吸入黑洞、限制流量���,是部分網(wǎng)絡安全供應商常用的防御措施,但在響應過程中�����,將會以犧牲網(wǎng)絡性能的代價來阻截DDoS攻擊��。
先說吸入黑洞,其具體機制只是將該資源流量丟到虛擬黑洞中�����,進而實現(xiàn)止損;但是����,吸入黑洞����,將會致使目標資產(chǎn)離線���,正中攻擊者下懷。
由于安全供應商基礎架構各有不同���,響應離線��、性能受損的后果也可能會波及其它用戶�����。而采取限制流量,同樣會帶來負面效果�����。終端用戶的正常數(shù)據(jù)資產(chǎn)或服務即便仍在運行��,卻明顯減少20%-40%的合法流量�����。這對受攻擊一方來說,很難保證用戶體驗���,并非優(yōu)選���、有效的解決方案。
Akamai提醒您�����,面對以上兩種DDoS防御措施�����。您需要向供應商詢問在常規(guī)情況或在受到攻擊時,吸入黑洞或限制流量的發(fā)生頻次以及應用場景��;同時,您需要詢問網(wǎng)路服務恢復正常的必要條件����。
在進行企業(yè)網(wǎng)絡安全部署時��,有一點很容易被忽略——灰色產(chǎn)業(yè)與非法企業(yè),可能在與您共享同一個合法的云供應商���。賭博和色情網(wǎng)站等灰色產(chǎn)業(yè)�����、諸如恐怖襲擊的這一類非法組織�����,受到DDoS攻擊的頻次遠大于合法產(chǎn)業(yè)。
與這兩種“網(wǎng)上鄰居”共享同一云安全平臺的DDoS防御服務,很可能發(fā)生“連帶”效應����、遭遇間接損失����。因為供應商的資源可能已被幾近耗盡�����,難堪其重,致使您的企業(yè)面臨風險��。
Akamai提醒您��,在選擇云安全供應商時,需要仔細研讀他們的服務客戶范圍����,選擇抵御DDoS時的可靠“盟友”���,規(guī)避共享云安全平臺資源時的潛在風險。
當前����,部署DDoS防御等安全措施時��,部分供應商通過單一云平臺來提供多種服務。這種一站式安全平臺���,短期而言���,確實存在一定優(yōu)勢,即簡化部署和集成安全管控措施的技術難度���。
但長遠來看��,一站式安全平臺也存在著顯著劣勢�����。由于平臺共享同一后端基礎架構和網(wǎng)絡的多種服務��,一旦環(huán)境中的其他部分遭遇中斷,接踵而至的間接損害�����、恢復能力降低等問題,也會嚴重破壞安全體驗����。要知道�����,單一平臺的設計上本就存在局限�����,一站式安全平臺在初始構建階段�����,在部分功能的開發(fā)上,會有折中處理而非優(yōu)選設計���。
相比之下�����,CDN、DNS和DDoS凈化云方案的專項構建則采用透明網(wǎng)絡���,在應對安全挑戰(zhàn)時���,能提供更穩(wěn)定、高效的緩解措施���,并大規(guī)模改善整體網(wǎng)絡性能、優(yōu)化防御態(tài)勢�����。
Akamai提醒您�����,一站式安全平臺并不意味著更好的安全體驗���。進行網(wǎng)絡安全部署時����,不需要通過共享同一基礎架構來實現(xiàn)一致的安全體驗�����。事實上����,不同的底層架構,在提供無縫�����、流暢用戶體驗的同時��,也能帶來高水準的緩解措施。
隨著攻擊媒介的復雜多樣��、攻擊力度的連年攀升,面對當下的DDoS攻擊���,本地解決方案提供的管控措施相對有限����。即便是4 Gbps以下的典型攻擊也會致使互聯(lián)網(wǎng)鏈路飽和�����,本地數(shù)據(jù)中心配備上乘內部硬件��,依然有可能發(fā)生拒絕服務的情況。
歸根結底���,限制本地解決方案管控能力����,恰恰是互聯(lián)網(wǎng)鏈路規(guī)模��。再加上稀缺的安全人才�����,往往要投入巨大的時間精力成本進行IT維護,往往不堪重負���、影響效率����。由此,企業(yè)組織都選擇將DDoS緩解措施外包給基于云平臺的安全供應商��,而不是開發(fā)內部DDoS防御技術。
Akamai提醒您����,DDoS是一種應由防御專家來處理的攻擊類型���。面臨超高流量的沖擊�����,本地解決方案存在固有風險�����。與其讓互聯(lián)網(wǎng)鏈路�����、安全運維人員疲于應對����、造成局面失控����,不如把專業(yè)的事交給專業(yè)的人�����,外包給專家處理,專注于業(yè)務本身����。
在DDoS攻擊中涉及的OSI模型中�����,共有物理層�����、數(shù)據(jù)鏈路層、網(wǎng)絡層���、傳輸層����、會話層���、表示層、應用層7個網(wǎng)絡連接層����。針對這一結構����,攻擊者會根據(jù)他們想要破壞的網(wǎng)絡或面向互聯(lián)網(wǎng)的資產(chǎn)類型��,針對不同的分層發(fā)起攻擊。由此來看����,使用同一種底層技術構建多層防御措施�����,將會讓所有防御層存在相同的漏洞和弱點���,致使企業(yè)面臨同一類風險。
應對多方位的DDoS攻擊��,克服多樣化的破壞手段�����,需要采用多層防御措施����,來減輕不同層次的攻擊。這重防御意識����,正是企業(yè)組織自建防御策略的基礎�����。諸如,采用混合防御法���。對于本地部署安全解決方案的企業(yè)來說�����,如果不采取多層防御�����,而是添加來自同一供應商的云解決方案,未必能獲取深度防御���。
Akamai提醒您����,基于DDoS攻擊原理��,需要對同類優(yōu)選技術進行分層,采取多層防御措施����。由此�����,即便某一層存在的缺陷,也能被另一層防御所彌補�����,實現(xiàn)更為立體��、深度的安全防御。
應對DDoS攻擊��,眾多安全供應商幾乎都在強調自身的安全運營中心(SOC)服務�����。這是因為SOC可以作為企業(yè)安全團隊的有效擴充����,及時�����、準確地提供防御技術、安全策略的支持�����。相比“全天候”這一點�����,在評估DDoS防御供應商SOC的效能時��,以下因素則更值得考量
·遭遇攻擊的前、中����、后�����,您能得到哪類支持和分析服務?
·SOC如何配備人員��,確保DDoS防御的連續(xù)性?
·聯(lián)系SOC時��,與您溝通的是能進行緩解操作的安全專家�����,還是僅轉交問題的對接人?
·提供商是否有接受防御培訓的安全專業(yè)人員��,還是只有緩解流量壓力的操作人員�����?
·對方是否提供定制化行動手冊����?
Akamai提醒您,當您對安全供應商SOC服務品質進行評估時��,在明確其攻擊檢測和緩解措施之外,需要確認對方是否還提供集成測試、事件故障排除����、事后分析報告和設計支持��?����?傮w來說���,服務環(huán)節(jié)越完備、服務水準越專業(yè)�����,便能高效地縮小DDoS攻擊面。
市面上的DDoS防御服務��,往往存在著“低價陷阱”�����。具體來說,部分供應商的安全防御措施���,對應有的攻擊防御數(shù)量或規(guī)模都會有所限制���,然后利用低報價搶占市場;而且這種“短視”行為�����,還將會埋下隱性成本��。
在服務中后期���,一旦您遭遇超出限制數(shù)量��、規(guī)模的DDoS攻擊����,供應商便會要求您升級到更高且更貴的服務層���,不然就不能進行安全防護��。此時,低價誘惑便露出了真實目的����,作為遭受DDoS攻擊方,此時往往一心只想恢復業(yè)務����,任由對方安排�����。
Akamai提醒您����,在對比供應商和報價時��,面對明顯低于市場價位的報價,您需要提起警惕����,務必考慮是否存在隱性成本以及報價中真正能獲取到的具體服務�����,進而尋求性價比更高的DDoS防御服務�����。
通過以上9個問題的梳理����,您會發(fā)現(xiàn)DDoS安全問題既復雜多變����,又費時費力����。如果不能及時有效地進行DDoS防御,不僅會損失終端用戶的信任����,而且還有可能承擔更為沉重的費用成本���。
立即登錄,閱讀全文
版權說明:
本文內容來自于Akamai����,本站不擁有所有權���,不承擔相關法律責任���。文章內容系作者個人觀點,不代表快出海對觀點贊同或支持����。如有侵權,請聯(lián)系管理員(zzx@kchuhai.com)刪除����!
閩公網(wǎng)安備 35010202001226號
