CTI論壇(ctiforum)7月30日消息(記者 李文杰):如今,公司和組織機(jī)構(gòu)需要對(duì)網(wǎng)絡(luò)上許多不同類型的DDoS攻擊有所準(zhǔn)備。近日,瞻博網(wǎng)絡(luò)正式發(fā)布數(shù)項(xiàng)全新的增強(qiáng)功能,這些增強(qiáng)功能將路由器作為執(zhí)行點(diǎn),使DDoS Secure解決方案能夠幫助網(wǎng)絡(luò)更好地防御攻擊。
DDoS 攻擊呈上升趨勢(shì)
在容量攻擊潛在地淹沒(méi)管道容量和攻陷邊緣設(shè)備并竊取背后受保護(hù)的資源情況下,在更靠近攻擊源的路由器化解容量攻擊便顯得非常重要。如果在邊緣準(zhǔn)確地檢測(cè)到攻擊,然后傳達(dá)給上游路由基礎(chǔ)設(shè)施,公司便可以在靠近攻擊源的位置有效地阻止惡意流量,而且不會(huì)中斷正常的服務(wù),從而達(dá)到理想的防御效果。這種策略不但對(duì)緩減分布式拒絕服務(wù)(DDoS)攻擊非常有效,而且對(duì)于確保DNS可用性也成效顯著。
但是,容量攻擊僅僅是問(wèn)題的一部分。 基于DNS的針對(duì)性攻擊對(duì)于企業(yè)和服務(wù)提供商同樣是一大問(wèn)題,F(xiàn)在,攻擊者可以通過(guò)多種方法,借助 DNS 摧毀網(wǎng)絡(luò)?紤]到服務(wù)提供商的核心DNS基礎(chǔ)設(shè)施,DNS 放大/反射攻擊(DNS基礎(chǔ)設(shè)施參與攻擊)或消耗攻擊(DNS基礎(chǔ)設(shè)施自身遭受攻擊)可能會(huì)導(dǎo)致網(wǎng)絡(luò)運(yùn)營(yíng)停止,并對(duì)收入帶來(lái)嚴(yán)重的影響。例如,正如我們今年早些時(shí)候看到的Spamhaus和NTP攻擊一樣,當(dāng)攻擊放大到100倍量級(jí)的GB時(shí),唯一的補(bǔ)救措施是在上游阻止攻擊流量。
網(wǎng)絡(luò)自身防御 DDoS
緩解DNS攻擊需要采取整體策略。在網(wǎng)絡(luò)邊緣本地檢測(cè)攻擊的同時(shí),還必須在路由器的上游更有效地緩解攻擊。離網(wǎng)絡(luò)邊界越遠(yuǎn),效果越好。這種組合拳可以最有效地防御DNS放大和反射攻擊。
但這是如何做到的呢?邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol, BGP)Flowspec是一種標(biāo)準(zhǔn)路由協(xié)議,該協(xié)議提供的機(jī)制可以在路由基礎(chǔ)設(shè)施正確地與本地DDoS解決方案相集成的情況下緩解DDoS攻擊。BGP Flowspec的粒度功能不但可以向下游的企業(yè)或數(shù)據(jù)中心提供干凈的管道,而且還可以盡可能靠近攻擊源阻止惡意流量。Flowspec的粒度使運(yùn)營(yíng)商能夠在上游的惡意流量攻擊鏈接之前,只清除這些惡意流量,不需要將所有流量轉(zhuǎn)移到數(shù)據(jù)清理中心。
瞻博網(wǎng)絡(luò)之路
瞻博網(wǎng)絡(luò)的MX路由器具備BGP功能,為DDoS Secure提供了理想的補(bǔ)充。通過(guò) BGP Flowspec集成DDoS Secure和MX擴(kuò)展了本地的應(yīng)用程序?qū)颖Wo(hù),使之包括從上游緩解更大規(guī)模的攻擊;趩l(fā)法的智能和針對(duì)MX上游執(zhí)行的粒度攻擊過(guò)濾規(guī)則的這種組合效應(yīng),可以保證網(wǎng)絡(luò)不存在攻擊流量,而且不中斷正常的服務(wù),同時(shí)使運(yùn)營(yíng)干預(yù)保持在最低水平。
瞻博網(wǎng)絡(luò)DDoS Secure是利用基于啟發(fā)法的DNS攻擊檢測(cè)方法并將緩解功能與上游MX路由器相結(jié)合的唯一解決方案,實(shí)現(xiàn)了靠近攻擊源進(jìn)行粒度、高效和分布式保護(hù)。將過(guò)濾器擴(kuò)展到網(wǎng)絡(luò)邊界,使運(yùn)營(yíng)商能夠處理威脅網(wǎng)絡(luò)重要服務(wù)(例如DNS)可用性的大規(guī)模DDoS攻擊。使用這種組合式的本地和網(wǎng)絡(luò)檢測(cè)與緩解攻擊策略,可以化解所DDoS攻擊--無(wú)論是基于DNS的攻擊還是其他攻擊。