當(dāng)前，大規(guī)模復(fù)雜的、混合的DDoS攻擊愈演愈烈，這對于網(wǎng)絡(luò)資源的保護(hù)提出了新的挑戰(zhàn)。由于企業(yè)向云計算模式轉(zhuǎn)移的步伐越來越快，數(shù)據(jù)中心作為大量虛擬數(shù)據(jù)的存儲地，已經(jīng)成為DDoS的重要攻擊目標(biāo)，這種單點攻擊所產(chǎn)生的危害程度遠(yuǎn)遠(yuǎn)大于那些直接受攻擊對象。

DDoS攻擊移師云計算

    《Arbor第五期全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全年報》通過對北美洲、南美洲、歐洲、非洲和亞洲的132家一級、二級和其他IP網(wǎng)絡(luò)運營商的調(diào)查顯示：互聯(lián)網(wǎng)服務(wù)運營商遇到的DDoS攻擊達(dá)到49 Gbps，相對于2008年只增長了32%，與2007年相比增長了100%，是2001年的100倍。DDoS攻擊正在轉(zhuǎn)移至云計算，攻擊規(guī)模仍在擴(kuò)大，但增速減緩，互聯(lián)網(wǎng)架構(gòu)和運營面臨困境。

由于網(wǎng)絡(luò)設(shè)備以及傳統(tǒng)的邊緣安全技術(shù)，例如，防火墻、入侵檢測系統(tǒng)由于自身不能提供足夠的DDoS保護(hù)。面對這些不可避免且日益增長的網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)運營商在尋找通過最優(yōu)現(xiàn)行方法（BCP）保護(hù)網(wǎng)絡(luò)不受攻擊的方法。BCP包括網(wǎng)絡(luò)架構(gòu)最優(yōu)方法、主機(jī)最優(yōu)方法和部署DDoS專用的異常檢測和抵御方案，例如思科Clean Pipes清洗中心解決方案。

    與傳統(tǒng)的DDoS防御技術(shù)相比，Clean Pipes解決方案能夠準(zhǔn)確識別出流向關(guān)鍵任務(wù)主機(jī)及應(yīng)用程序的合法流量和惡意流量。準(zhǔn)確阻擋惡意流量，同時讓合法流量通過，保證商業(yè)、服務(wù)運作正常。

    隨著DDoS攻擊的不斷演變，思科Clean Pipes解決方案也在同步迅速發(fā)展。從思科Anomaly Guard Appliance開始的1Gbps抵御容量，到之后的Anomaly Guard Module（AGM）可以達(dá)到每個模塊3Gbp抵御容量，而多個AGM 模塊更是可以提供10+ Gbps的防御保護(hù)。

    鑒于云計算網(wǎng)絡(luò)環(huán)境的復(fù)雜性與攻擊變化的多樣性，思科決定停止對Guard模塊繼續(xù)研發(fā)，轉(zhuǎn)而與長期合作的互聯(lián)網(wǎng)頂級流量分析者Arbor公司進(jìn)行合作，通過集成路由與安全技術(shù)實現(xiàn)異常流量（主要是DDoS）“云”清洗系統(tǒng)，將Clean Pipes解決方案升級到了2.0版本。在Clean Pipes 2.0中，Arbor Peakflow SP 威脅管理系統(tǒng)（TMS）將成為Guard的升級方案。

“云”清洗防御DDoS

    信息安全知名博客 賽道（www.sectao.net）指出：回顧Anti-DDoS解決方案的發(fā)展過程可以發(fā)現(xiàn)，在2000年時互聯(lián)網(wǎng)剛剛興起，用戶通常采用DDoS防火墻即可有效抵御攻擊。而在2005年，隨著Web 2.0的蓬勃發(fā)展，托管服務(wù)安全供應(yīng)商（MSSP）成為了那一時代的最佳解決方案。如今進(jìn)入了云計算時代，通過SaaS（安全既服務(wù)）的方式實現(xiàn)“云”清洗將成為最有效的解決方案。

    Arbor和思科的合作從2000年就開始了，早在Clean Pipes 1.0 和 1.5.中，Arbor Peakflow SP產(chǎn)品用于攻擊檢測。在Clean Pipes 2.0中，Arbor Peakflow SP 將被用于異常流量檢測，而TMS則用于對DDoS攻擊流量的手術(shù)式清洗，兩者結(jié)合系統(tǒng)性的實現(xiàn)“云”清洗。

簡而言之，在Clean Pipes 2.0中，Arbor Peakflow SP是一個流量采集器。通過多個采集器的流量對比，識別DDoS攻擊，同時確定攻擊特性。從技術(shù)角度來看，Arbor Peakflow SP是一種基于Netflow的異常流量檢測設(shè)備。它從網(wǎng)絡(luò)中的路由交換設(shè)備中獲取Netflow信息，不斷地基于Netflow統(tǒng)計表建立合法流量基線模板。通過流量與基線模板相比較，任何偏差都會被作為異常情況被識別和警報，從而進(jìn)一步采取防御措施，包括通知網(wǎng)絡(luò)管理人員，或啟動攻擊抵御設(shè)備的DDoS保護(hù)功能。

    當(dāng)網(wǎng)絡(luò)在正常情況下運行時，Netflow會產(chǎn)生大量的網(wǎng)絡(luò)流量數(shù)據(jù)分析圖，并建立基線模型，用于流量異常檢測。當(dāng)遭受到DDoS攻擊時，Netflow信息統(tǒng)計表將會顯示出與基線模型的偏差，這就是受到攻擊的第一個信號。通過更多詳細(xì)的流量信息，可以進(jìn)一步分析流量模式和行為。一旦異常流量被識別，Anti-DDoS“云”清洗系統(tǒng)可以通過自動或手動的方式啟動DDoS防御策略。

    當(dāng)Netflow應(yīng)用于Anti-DDoS“云”清洗系統(tǒng)時，NetFlow常常被部署在SP或者企業(yè)網(wǎng)絡(luò)的邊緣，監(jiān)控邊緣以及對等接口的帶內(nèi)流量，因為對于大部分攻擊，這些是典型的入口點。路由器會保留在線NetFlow緩存區(qū)跟蹤當(dāng)下流量。IP流量信息從NetFlow緩沖區(qū)中輸出，然后進(jìn)入外部采集器做進(jìn)一步分析。

圖：DDoS防御已經(jīng)進(jìn)入到第三階段—“云”清洗

    Frost & Sullivan專業(yè)評論發(fā)文DDoS清洗救援行動 “DDoS Mitigation to the Rescue” ，文中指出：鑒于Arbor獨有的運營商級部署與ATLAS威脅可見性的經(jīng)驗數(shù)據(jù)積累，思科決定公開推薦Arbor作為Guard清洗中心客戶的升級解決方案。

    第三代基于"云"計算的清洗中心主要四大特點：

    一：智能檢測分析系統(tǒng)與清洗中心一體化，基于運營商級的全網(wǎng)監(jiān)控系統(tǒng)統(tǒng)一控制流量的流向并決定清洗行動。提高了預(yù)見性與準(zhǔn)確性。

    二："云"清洗系統(tǒng)針對應(yīng)用層的攻擊防護(hù)具有特別設(shè)計包括（DNS， HTTP， SIP 等），并率先支持下一代IPv6的網(wǎng)絡(luò)環(huán)境。

    三："云"清洗系統(tǒng)具有異常流量的溯源能力并結(jié)合ATLAS威脅數(shù)據(jù)庫與指紋機(jī)制實時防范最新攻擊，包括零日Zero-day攻擊；

    四："云"清洗系統(tǒng)針對被保護(hù)對象的自服務(wù)門戶功能為運營商大范圍提供異常流量清洗服務(wù)提供了基礎(chǔ)，改善了購買DDoS服務(wù)的用戶體驗。

標(biāo)簽： ddos ddos防火墻 ddos防御 ddos防御策略 ddos服務(wù) dns 安全 防火墻 防御ddos 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)服務(wù) 數(shù)據(jù)分析 數(shù)據(jù)庫 網(wǎng)絡(luò) 信息安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。