经过流量清理防护DDoS

时间 2019-11-11

原文原文链接

导读	在2018年2月，世界上最大的分布式拒绝服务(DDoS)攻击在发起20分钟内获得控制，这主要得益于事先部署的DDoS防御服务。

此次攻击是针对GitHub–数百万开发人员使用的主流在线代码管理服务，GitHub遭受1.3Tbps的传入流量攻击，并受到每秒1.269亿的数据包轰炸。在攻击发生的10分钟内，GitHub拉响警报并将其流量路由到其DDoS缓解服务Akamai Prolexic，后者整理并阻止了恶意流量。

GitHub并非惟一的DDoS攻击受害者，如今DDoS攻击的强度愈来愈大，同时也愈来愈复杂。F5 Networks公司亚太区安全专家Shahnawaz Backer表示，根据F5的数据来看，自2017年以来，亚太地区企业也开始遭遇DDoS攻击，攻击速度几乎与北美企业遭遇的攻击相同，这种攻击从来很是有针对性。
另外，东盟国家的企业也没有幸免。根据Frost&Sullivan的数据，针对东盟的DDoS攻击有显着增加，占亚太地区市场的20%。
如今，愈来愈多的企业开始投资于DDoS解决方案，尤为是基于云的DDoS缓解服务，并逐渐远离以服务提供商为中心的市场。
DDoS攻击是企业可能面临的最复杂的威胁之一。在DDoS攻击中，个体黑客、组织型犯罪团伙或国家行为者的目标是淹没企业网络、网站或网络组件，例如路由器。所以，企业必须肯定流量高峰是合法流量仍是攻击。
IDC公司亚太地区业务和IT服务研究集团高级市场分析师Sherrel Roche表示：“若是没有对基线和历史流量趋势的充分了解，企业就不可能及时发现攻击，致使严重后果。”
Landbank银行是菲律宾最大的国有银行，该银行已采起措施部署F5的BIG-IP本地流量管理器，以更好地了解其应用程序流量和性能，以及在客户数据进入和离开应用时充分了解客户数据。这使其安全团队可以在发现欺诈交易后当即对其进行检查、管理和报告。
除此以外，他们还有内部部署的应用程序级7层网络DDoS缓解服务，以确保关键任务应用程序免受针对应用程序的攻击。
而在攻击者这一边，攻击者可相对简单地使用随时可用的DDoS租用服务发起DDoS攻击，即便是技术不好或没有技术技能的人也可能发起破坏性攻击。
Akamai Technologies亚太地区安全技术和战略主管Fernando Serto表示，曾经在Steam游戏发行平台和IRC(互联网中继聊天)的聊天室组织过这样的攻击，不少参与成员使用下载的工具，产生超过170Gbps的流量。其中还包括一位12岁开发人员的YouTube教程。
DDoS的部分挑战在于这些攻击的复杂性。DDoS攻击不只有多种类别攻击方法，并且每一个类别都有不少不一样的攻击方式。攻击者还可使用几种不一样的攻击向量攻击相同的目标。
最重要的是，有些攻击很难被发现。其中一种值得注意的攻击，它会经过一系列突发(持续几分钟)来淹没目标的DNS(域名系统)服务器，而不是经过持续的攻击。
Serto称：“这会致使抵御方疲劳，由于这些突发流量会涌入很长一段时间，所以，对这些类型的攻击进行检测变得很是困难，更不用说缓解。”
DDoS攻击与其余网络攻击不一样，后者可经过修复补丁和本地安装的安全设备得以彻底阻止。Gartner公司高级分析师Rajpreet
Kaur说，对拒绝服务的防护计算是不一样的，由于任何企业都没法靠本身防护或阻止全部DDoS攻击。
然而，投资DDoS保护的决定并不容易，因为DDoS缓解是一项昂贵的投资，除非企业或其竞争对手遭受攻击，不然企业不会轻易考虑这项投资。
Kaur称：“跨国公司和全球公司可能会投资于DDoS防御解决方案，但高昂的成本可能会阻止较小的本地公司。”
Frost&Sullivan公司网络安全高级行业分析师Vu Anh Tien表示，随着企业将应用程序和基础架构迁移到云端，IT基础架构变得愈来愈复杂，这须要DDoS解决方案来知足不一样的环境需求。
清理干净
在2018年2月，GitHub应对大规模攻击依靠的是清理服务，这是一种常见的DDoS缓解技术。经过使用此方法，发往特定IP地址范围的流量将重定向到清理数据中心，其中攻击流量将获得“清理”或清洗。而后，只有干净的流量才会转发到目标目的地。
Gartner公司的Kaur说，大多数DDoS清洗提供商都有三到七个清理中心，一般分布在全球各地。每一个中心都包含DDoS缓解设备和大量带宽，这些带宽可能超过350Gbps。当客户受到攻击时，他们只要“按下按钮”将全部流量重定向到最近的清理中心便可。
企业客户可经过两种方式利用清理中心：一种是全天候经过清理中心路由流量，而另外一种则是在发生攻击时按需路由流量。
鉴于安全攻击和IT基础架构的复杂性，企业愈来愈多地开始采用混合保护模型，以抵御最普遍的潜在攻击媒介。Backer称，他们一般之内部部署系统做为第一道防线，当内部部署技术不堪重负时，便会利用清理中心。
IDC公司Roche补充道：“为了无缝地(以减小停机时间)将不良流量转移到清理中心，企业须要在云端和本地解决方案之间实现无缝集成，以在攻击到达核心网络资产和数据前缓解攻击。”
清理中心主要用于保护客户环境中的基础设施，例如DNS服务器、邮件中继和其余基于IP的应用程序，同时，企业也会转向基于内容分发网络(CDN)的DDoS缓解服务来保护网络和移动应用程序，以及不少物联网(IoT)应用程序的应用程序编程接口(API)流量。
Akamai的Serto说：“基于CDN的方法还将保护应用程序免受应用程序层攻击，例如SQL注入、跨站脚本攻击和远程文件包含攻击，以及凭据滥用攻击–使用机器人进行自动化。”
Gartner公司的Kaur表示，尽管大多数清理服务提供商都提供强大的DDoS缓解功能，但企业应对提供商进行评估，包括其基础架构容量、服务水平、经验和订价等。
Kaur说：“企业须要在不一样层级部署多种拒绝服务防护措施，不只仅是购买单一安全产品或选择单一服务提供商。全面的解决方案须要考虑云清理中心、CDN、DNS保护、边缘和应用DDoS设备。”html

原文来自：http://netsecurity.51cto.com/art/201902/592075.htmlinux

本文地址：https://www.linuxprobe.com/traffic-cleaning-defense-ddos.html编辑：冯瑞涛，审核员：逄增宝编程