C114通信网  |  通信人家园

资讯
2017/10/12 08:00

Arbor:DDoS攻击升级 业界需阶层式防御

C114中国通信网  张海龙

C114讯 10月11日消息(张海龙)目前,DDoS攻击正成为网络攻击中最为常见的攻击类型,而随着攻击型态演变,DDoS正呈现出攻击量不断攀升、攻击复杂度愈来愈高、攻击频率增加三大趋势。

这让传统保护已经无法有效侦测阻挡DDoS,作为全球DDoS防御领军企业,Arbor Networks认为,阶层式DDoS防御才是有效并全方位的解决方案。

Arbor Networks大中华区总经理金大刚认为,阶层式DDoS防御具备六大特征:

第一,驻地端防护设备必须 24 小时全天候主动侦测各类型DDoS攻击,包括流量攻击、状态耗尽攻击与应用层攻击;

第二,驻地端防护设备只要侦测到攻击流量,皆可立即阻档;

第三,必须自动挡下探子马,藉此推迟黑客刺探军情的频率,以绝后患;

第四,为了避免出现如同防火墙等设备附加功能的弱点,因此用户务必慎选无状态表架构的防护设备,以免黑客而耗尽连接数量上限而攻击得逞;

第五,用户宜跳脱设备规格的军事竞赛思维,不需过度计较其吞吐流量多大、操作界面多强,而应关注其是否深具智慧,智慧的高低,取决于设备原厂是否有能力搜集大量资料,藉由云端大数据分析萃取攻击样本,继而以最快速度产生攻击特征码,终至回馈到前端设备;

第六,需本地与云端联动,从而进行高效的DDoS防御。

事实上,这也是各大分析机构的共识,Gartner、IDC、Frost & Sullivan、 Ovum 、 Infonetics不约而同倡议“Layered DDoS Attack Protection”概念,即由多层次防御手段,达到阻挡DDoS攻击的效果。

不过,金大刚认为,目前市场上众多的DDoS防御解决方案并不能真正解决DDoS攻击。例如,CDN对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用,在与后台主机的联机信道中,会充斥大量对话,其中可能存在恶意流量。

至于区域性电信运营商,由于无法主动侦测应用层攻击、或状态耗损攻击,再加上即使勉可过滤攻击流量,但因容量有限,只要容量用尽便无法执行清洗,或将导致后续正常封包,也将被丢弃。

而国际流量清洗中心利用海外机房执行清洗任务,迫使用户必须绕一大段路才能接受过滤服务,难免造成延迟,大大降低服务质量。此外,防火墙或IPS等设备商则有着最大连接数的限制。

对此,Arbor Networks推出了阶层式DDoS防御解决方案,通过APS(Pravail Availability Protection System)对流量进行检测清洗,当APS遭遇难以排除的攻击流量,便通过云端清洗中心展开流量过滤,从而保障网络能够及时有效抵御DDoS攻击。

尤其值得一提的是,Arbor Networks拥有全球95%主流电信运营商客户,通过和全世界300多家电信运营商的合作关系,Arbor的研究中心可以实时接收这些电信运营商提供的样本流量信息。因此Arbor掌握了全球逾四成因特网实时流量信息,可比竞争对手更快察觉新型攻击样态,从而实时建立指纹知识库,协助用户得以及时侦测并防御恶意攻击。

给作者点赞
0 VS 0
写得不太好

版权说明:C114刊载的内容,凡注明来源为“C114通信网”或“C114原创”皆属C114版权所有,未经允许禁止转载、摘编,违者必究。对于经过授权可以转载我方内容的单位,也必须保持转载文章、图像、音视频的完整性,并完整标注作者信息和本站来源。编译类文章仅出于传递更多信息之目的,不代表证实其描述或赞同其观点;翻译质量问题请指正

热门文章
    最新视频
    为您推荐

      C114简介 | 联系我们 | 网站地图 | 手机版

      Copyright©1999-2024 c114 All Rights Reserved | 沪ICP备12002291号

      C114 通信网 版权所有 举报电话:021-54451141