中国互联网企业发展迅猛,一些大公司虽然对网络安全问题非常重视,但是依然有一个非常头疼的问题,就是DDoS攻击。尽管已有的防火墙和IPS设备对网络中保护至关重要,但他们不足以防御DDoS攻击。
DDoS攻击发生时,大量的流量直接从运营商一侧奔涌而入,瞬间就把被攻击企业的出口链路塞满,网内纵使有再大“能耐”,也无可奈何。另一方面,互联网企业一般都会有公众可达的域名,攻击流量寻址非常容易,而运营商虽然也有提供给一般企业的流量清洗服务,但由于互联网企业的流量特征各异,运营商很难有一个固定的模式去精确区分互联网企业的正常业务流量和异常攻击流量。
就拿IDC来说,它面临网络中各种各样的攻击,其中危害最大也莫过于DDoS攻击,对于此类攻击很多IDC只能依赖于硬件防DDoS防火墙来抵挡。而令IDC管理者更为头疼的是,虽然在内部购买了各种各样的防DDoS攻击设备,大量的DDoS还是蜂拥而来,仍然挤占了出口带宽,影响了正常服务。
对这种流量型的DDoS攻击IDC束手无策。如果有一种手段可以从上游接入端将DDoS攻击过滤或引流,甚至是在远端就能作有效的限制,达到拒DDoS攻击于千里之外,无疑是一种理想状态。
DDoS攻击在规模和复杂性方面持续增长。而且,攻击背后隐藏的动机已不断拓展,涵盖意识形态黑客行动主义和互联网恶意破坏行为。这使得从社交网络到政府部门中的每个人都面临攻击风险。
Arbor认为应对像DDoS这样的复杂威胁需要分层安全解决方案。首先,企业必须保护他们自身免受大流量和状态耗尽DDoS攻击,此类攻击可通过使用由一些互联网服务提供商或托管安全服务运营商提供的基于云的保护服务,令企业的互联网连接达到饱和;其次,企业必须使用基于边界的解决方案来防御应用层DDoS攻击。此外,基于边界的解决方案可通过让企业控制他们对DDoS威胁的响应来为企业提供保护。
APS——Arbor Networks的Pravail可用性保护系统,执着于保障网络边界安全,使其免遭针对可用性的威胁,尤其可以提供针对应用层DDoS攻击的保护。该系统是为企业专门设计的,它提供开包即可使用、经过实践检验的DDoS攻击识别和缓解功能,此类功能可使用极少的配置快速部署,甚至可以在攻击发生的过程中部署。