导读 在2018年2月,世界上最大的分布式拒绝服务(DDoS)攻击在发起20分钟内得到控制,这主要得益于事先部署的DDoS防护服务。

这次攻击是针对GitHub–数百万开发人员使用的主流在线代码管理服务,GitHub遭受1.3Tbps的传入流量攻击,并受到每秒1.269亿的数据包轰炸。在攻击发生的10分钟内,GitHub拉响警报并将其流量路由到其DDoS缓解服务Akamai Prolexic,后者整理并阻止了恶意流量。

GitHub并不是唯一的DDoS攻击受害者,现在DDoS攻击的强度越来越大,同时也越来越复杂。F5 Networks公司亚太区安全专家Shahnawaz Backer表示,根据F5的数据来看,自2017年以来,亚太地区企业也开始遭遇DDoS攻击,攻击速度几乎与北美企业遭遇的攻击相同,这种攻击历来非常有针对性。
另外,东盟国家的企业也没有幸免。根据Frost&Sullivan的数据,针对东盟的DDoS攻击有显着增长,占亚太地区市场的20%。
现在,越来越多的企业开始投资于DDoS解决方案,尤其是基于云的DDoS缓解服务,并逐渐远离以服务提供商为中心的市场。
DDoS攻击是企业可能面临的最复杂的威胁之一。在DDoS攻击中,个体黑客、组织型犯罪团伙或国家行为者的目标是淹没企业网络、网站或网络组件,例如路由器。因此,企业必须确定流量高峰是合法流量还是攻击。
IDC公司亚太地区业务和IT服务研究集团高级市场分析师Sherrel Roche表示:“如果没有对基线和历史流量趋势的充分了解,企业就不可能及时发现攻击,导致严重后果。”
Landbank银行是菲律宾最大的国有银行,该银行已采取措施部署F5的BIG-IP本地流量管理器,以更好地了解其应用程序流量和性能,以及在客户数据进入和离开应用时充分了解客户数据。这使其安全团队能够在发现欺诈交易后立即对其进行检查、管理和报告。
除此之外,他们还有内部部署的应用程序级7层网络DDoS缓解服务,以确保关键任务应用程序免受针对应用程序的攻击。
而在攻击者这一边,攻击者可相对简单地使用随时可用的DDoS租用服务发起DDoS攻击,即使是技术很差或没有技术技能的人也可能发起破坏性攻击。
Akamai Technologies亚太地区安全技术和战略主管Fernando Serto表示,曾经在Steam游戏发行平台和IRC(互联网中继聊天)的聊天室组织过这样的攻击,很多参与成员使用下载的工具,产生超过170Gbps的流量。其中还包括一位12岁开发人员的YouTube教程。
DDoS的部分挑战在于这些攻击的复杂性。DDoS攻击不仅有多种类别攻击方法,而且每个类别都有很多不同的攻击方式。攻击者还可以使用几种不同的攻击向量攻击相同的目标。
最重要的是,有些攻击很难被发现。其中一种值得注意的攻击,它会通过一系列突发(持续几分钟)来淹没目标的DNS(域名系统)服务器,而不是通过持续的攻击。
Serto称:“这会导致抵御方疲劳,因为这些突发流量会涌入很长一段时间,因此,对这些类型的攻击进行检测变得非常困难,更不用说缓解。”
DDoS攻击与其他网络攻击不同,后者可通过修复补丁和本地安装的安全设备得以完全阻止。Gartner公司高级分析师Rajpreet
Kaur说,对拒绝服务的防御计算是不同的,因为任何企业都无法靠自己防御或阻止所有DDoS攻击。
然而,投资DDoS保护的决定并不容易,由于DDoS缓解是一项昂贵的投资,除非企业或其竞争对手遭受攻击,否则企业不会轻易考虑这项投资。
Kaur称:“跨国公司和全球公司可能会投资于DDoS防护解决方案,但高昂的成本可能会阻止较小的本地公司。”
Frost&Sullivan公司网络安全高级行业分析师Vu Anh Tien表示,随着企业将应用程序和基础架构迁移到云端,IT基础架构变得越来越复杂,这需要DDoS解决方案来满足不同的环境需求。
清理干净
在2018年2月,GitHub应对大规模攻击依靠的是清理服务,这是一种常见的DDoS缓解技术。通过使用此方法,发往特定IP地址范围的流量将重定向到清理数据中心,其中攻击流量将得到“清理”或清洗。然后,只有干净的流量才会转发到目标目的地。
Gartner公司的Kaur说,大多数DDoS清洗提供商都有三到七个清理中心,通常分布在全球各地。每个中心都包含DDoS缓解设备和大量带宽,这些带宽可能超过350Gbps。当客户受到攻击时,他们只要“按下按钮”将所有流量重定向到最近的清理中心即可。
企业客户可通过两种方式利用清理中心:一种是全天候通过清理中心路由流量,而另一种则是在发生攻击时按需路由流量。
鉴于安全攻击和IT基础架构的复杂性,企业越来越多地开始采用混合保护模型,以抵御最广泛的潜在攻击媒介。Backer称,他们通常以内部部署系统作为第一道防线,当内部部署技术不堪重负时,便会利用清理中心。
IDC公司Roche补充道:“为了无缝地(以减少停机时间)将不良流量转移到清理中心,企业需要在云端和本地解决方案之间实现无缝集成,以在攻击到达核心网络资产和数据前缓解攻击。”
清理中心主要用于保护客户环境中的基础设施,例如DNS服务器、邮件中继和其他基于IP的应用程序,同时,企业也会转向基于内容分发网络(CDN)的DDoS缓解服务来保护网络和移动应用程序,以及很多物联网(IoT)应用程序的应用程序编程接口(API)流量。
Akamai的Serto说:“基于CDN的方法还将保护应用程序免受应用程序层攻击,例如SQL注入、跨站脚本攻击和远程文件包含攻击,以及凭据滥用攻击–使用机器人进行自动化。”
Gartner公司的Kaur表示,尽管大多数清理服务提供商都提供强大的DDoS缓解功能,但企业应对提供商进行评估,包括其基础架构容量、服务水平、经验和定价等。
Kaur说:“企业需要在不同层级部署多种拒绝服务防御措施,不仅仅是购买单一安全产品或选择单一服务提供商。全面的解决方案需要考虑云清理中心、CDN、DNS保护、边缘和应用DDoS设备。”

原文来自:http://netsecurity.51cto.com/art/201902/592075.htm

本文地址:https://www.linuxprobe.com/traffic-cleaning-defense-ddos.html编辑:冯瑞涛,审核员:逄增宝

通过流量清理防御DDoS的更多相关文章

  1. DDOS攻击(流量攻击)防御步骤

    DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2 ...

  2. Linux下防御DDOS攻击的操作梳理

    DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求.耗尽目标主机资源 ...

  3. 防御 DDoS 的终极奥义——又拍云 SCDN

    现如今不论是年轻的 80.90 后,还是 70.60 后,都在享受互联网带来的舒适和便利.在家就可以"逛商场",完全不受时间的限制:在线支付既方便又安全:业余娱乐项目多种多样,打农 ...

  4. [转]自建CDN防御DDoS

    自建CDN防御DDoS(1):知己知彼,建设持久防线 前言 本议题是我们在OWASP杭州区2013年岁末年初安全沙龙中进行分享的内容,在此我们对这个议题的整体内容进行了重新归纳梳理,形成了文字版. 在 ...

  5. python写一个防御DDos的脚本(请安好环境否则无法实验)

    起因: 居然有ddos脚本,怎么可以没防御ddos的脚本! 开始: 1.请执行 install.py安装好DDos-defalte,会在root目录下多出这个文件夹 代码: 2.然后执行fyddos. ...

  6. 互联网创业公司如何防御 DDoS 攻击?采用CDN服务

    收集了发表于2015年 攻击者是控制一个足够大的分布式集群来发起攻击,各种杂七杂八的包,什么都会有.根本不在乎你开的什么服务,也没那耐心分析你有什么服务.比如哪怕你根本没开UDP的任何服务,但他就是发 ...

  7. 从分析攻击方式来谈如何防御DDoS攻击

    DDoS攻击的定义: DDoS攻击全称——分布式拒绝服务攻击,是网络攻击中非常常见的攻击方式.在进行攻击的时候,这种方式可以对不同地点的大量计算机进行攻击,进行攻击的时候主要是对攻击的目标发送超过其处 ...

  8. IPv6 时代如何防御 DDoS 攻击?

    在互联网世界,每台联网的设备都被分配了一个用于标识和位置定义的 IP 地址.20 世纪 90 年代以来互联网的快速发展,联网设备所需的地址远远多于可用 IPv4 地址的数量,导致了 IPv4 地址耗尽 ...

  9. Linux下防御ddos攻击

    导读 Linux服务器在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等.通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长.比较彻底的解决方法是添置硬件防火墙.不过 ...

随机推荐

  1. React-安装和配置redux调试工具Redux DevTools

    chrome扩展程序里搜索Redux DevTools进行安装 新建store的时候,进行如下配置. import { createStore, applyMiddleware ,compose} f ...

  2. 提取jedis源码的一致性hash代码作为通用工具类

    一致性Hash热点 一致性Hash算法是来解决热点问题,如果虚拟节点设置过小热点问题仍旧存在. 关于一致性Hash算法的原理我就不说了,网上有很多人提供自己编写的一致性Hash算法的代码示例,我在跑网 ...

  3. Westore 1.0 正式发布 - 小程序框架一个就够

    世界上最小却强大的小程序框架 - 100多行代码搞定全局状态管理和跨页通讯 Github: https://github.com/dntzhang/westore 众所周知,小程序通过页面或组件各自的 ...

  4. elasticsearch简单操作(二)

    让我们建立一个员工目录,假设我们刚好在Megacorp工作,这时人力资源部门出于某种目的需要让我们创建一个员工目录,这个目录用于促进人文关怀和用于实时协同工作,所以它有以下不同的需求:1.数据能够包含 ...

  5. Sparse Principal Component Analysis

    目录 背景: 部分符号 创新点 文章梗概 The LASSO AND THE ELASTIC NET 将PCA改造为回归问题 定理二 单个向量(无需进行SVD版本) 定理三 多个向量(无需进行SVD, ...

  6. Python—反射

    反射 1 什么是反射 反射的概念是由Smith在1982年首次提出的,主要是指程序可以访问.检测和修改它本身状态或行为的一种能力(自省).这一概念的提出很快引发了计算机科学领域关于应用反射性的研究.它 ...

  7. hdu3790 dijkstra+堆优化

    题目来源:http://acm.hdu.edu.cn/showproblem.php?pid=3790 分析:dijkstra没有优化的话,复杂度是n*n,优化后的复杂度是m*logm,n是顶点数,m ...

  8. 1. FPGA内部的逻辑资源

    CLB(包括LUT.加法器.寄存器.MUX(多路选择器)) 时钟网络资源(全局时钟网络,区域时钟网络,IO时钟网络),理解时钟网络的本质和意义 时钟处理单元(PLL,DCM),理解时钟网络资源和时钟处 ...

  9. Diverse Garland CodeForces - 1108D (贪心+暴力枚举)

    You have a garland consisting of nn lamps. Each lamp is colored red, green or blue. The color of the ...

  10. ModelAttribute用法之一

    @ModelAttribute也可以做为Model输出到View时使用,比如: 测试例子   package com.my.controller; import java.util.ArrayList ...