經過流量清理防護DDoS

導讀	在2018年2月，世界上最大的分佈式拒絕服務(DDoS)攻擊在發起20分鐘內獲得控制，這主要得益於事先部署的DDoS防禦服務。

此次攻擊是針對GitHub–數百萬開發人員使用的主流在線代碼管理服務，GitHub遭受1.3Tbps的傳入流量攻擊，並受到每秒1.269億的數據包轟炸。在攻擊發生的10分鐘內，GitHub拉響警報並將其流量路由到其DDoS緩解服務Akamai Prolexic，後者整理並阻止了惡意流量。

GitHub並非惟一的DDoS攻擊受害者，如今DDoS攻擊的強度愈來愈大，同時也愈來愈複雜。F5 Networks公司亞太區安全專家Shahnawaz Backer表示，根據F5的數據來看，自2017年以來，亞太地區企業也開始遭遇DDoS攻擊，攻擊速度幾乎與北美企業遭遇的攻擊相同，這種攻擊從來很是有針對性。
另外，東盟國家的企業也沒有幸免。根據Frost&Sullivan的數據，針對東盟的DDoS攻擊有顯着增加，佔亞太地區市場的20%。
如今，愈來愈多的企業開始投資於DDoS解決方案，尤爲是基於雲的DDoS緩解服務，並逐漸遠離以服務提供商爲中心的市場。
DDoS攻擊是企業可能面臨的最複雜的威脅之一。在DDoS攻擊中，個體黑客、組織型犯罪團伙或國家行爲者的目標是淹沒企業網絡、網站或網絡組件，例如路由器。所以，企業必須肯定流量高峯是合法流量仍是攻擊。
IDC公司亞太地區業務和IT服務研究集團高級市場分析師Sherrel Roche表示：「若是沒有對基線和歷史流量趨勢的充分了解，企業就不可能及時發現攻擊，致使嚴重後果。」
Landbank銀行是菲律賓最大的國有銀行，該銀行已採起措施部署F5的BIG-IP本地流量管理器，以更好地瞭解其應用程序流量和性能，以及在客戶數據進入和離開應用時充分了解客戶數據。這使其安全團隊可以在發現欺詐交易後當即對其進行檢查、管理和報告。
除此以外，他們還有內部部署的應用程序級7層網絡DDoS緩解服務，以確保關鍵任務應用程序免受針對應用程序的攻擊。
而在攻擊者這一邊，攻擊者可相對簡單地使用隨時可用的DDoS租用服務發起DDoS攻擊，即便是技術不好或沒有技術技能的人也可能發起破壞性攻擊。
Akamai Technologies亞太地區安全技術和戰略主管Fernando Serto表示，曾經在Steam遊戲發行平臺和IRC(互聯網中繼聊天)的聊天室組織過這樣的攻擊，不少參與成員使用下載的工具，產生超過170Gbps的流量。其中還包括一位12歲開發人員的YouTube教程。
DDoS的部分挑戰在於這些攻擊的複雜性。DDoS攻擊不只有多種類別攻擊方法，並且每一個類別都有不少不一樣的攻擊方式。攻擊者還可使用幾種不一樣的攻擊向量攻擊相同的目標。
最重要的是，有些攻擊很難被發現。其中一種值得注意的攻擊，它會經過一系列突發(持續幾分鐘)來淹沒目標的DNS(域名系統)服務器，而不是經過持續的攻擊。
Serto稱：「這會致使抵禦方疲勞，由於這些突發流量會涌入很長一段時間，所以，對這些類型的攻擊進行檢測變得很是困難，更不用說緩解。」
DDoS攻擊與其餘網絡攻擊不一樣，後者可經過修復補丁和本地安裝的安全設備得以徹底阻止。Gartner公司高級分析師Rajpreet
Kaur說，對拒絕服務的防護計算是不一樣的，由於任何企業都沒法靠本身防護或阻止全部DDoS攻擊。
然而，投資DDoS保護的決定並不容易，因爲DDoS緩解是一項昂貴的投資，除非企業或其競爭對手遭受攻擊，不然企業不會輕易考慮這項投資。
Kaur稱：「跨國公司和全球公司可能會投資於DDoS防禦解決方案，但高昂的成本可能會阻止較小的本地公司。」
Frost&Sullivan公司網絡安全高級行業分析師Vu Anh Tien表示，隨着企業將應用程序和基礎架構遷移到雲端，IT基礎架構變得愈來愈複雜，這須要DDoS解決方案來知足不一樣的環境需求。
清理乾淨
在2018年2月，GitHub應對大規模攻擊依靠的是清理服務，這是一種常見的DDoS緩解技術。經過使用此方法，發往特定IP地址範圍的流量將重定向到清理數據中心，其中攻擊流量將獲得「清理」或清洗。而後，只有乾淨的流量纔會轉發到目標目的地。
Gartner公司的Kaur說，大多數DDoS清洗提供商都有三到七個清理中心，一般分佈在全球各地。每一箇中心都包含DDoS緩解設備和大量帶寬，這些帶寬可能超過350Gbps。當客戶受到攻擊時，他們只要「按下按鈕」將全部流量重定向到最近的清理中心便可。
企業客戶可經過兩種方式利用清理中心：一種是全天候經過清理中心路由流量，而另外一種則是在發生攻擊時按需路由流量。
鑑於安全攻擊和IT基礎架構的複雜性，企業愈來愈多地開始採用混合保護模型，以抵禦最普遍的潛在攻擊媒介。Backer稱，他們一般之內部部署系統做爲第一道防線，當內部部署技術不堪重負時，便會利用清理中心。
IDC公司Roche補充道：「爲了無縫地(以減小停機時間)將不良流量轉移到清理中心，企業須要在雲端和本地解決方案之間實現無縫集成，以在攻擊到達核心網絡資產和數據前緩解攻擊。」
清理中心主要用於保護客戶環境中的基礎設施，例如DNS服務器、郵件中繼和其餘基於IP的應用程序，同時，企業也會轉向基於內容分發網絡(CDN)的DDoS緩解服務來保護網絡和移動應用程序，以及不少物聯網(IoT)應用程序的應用程序編程接口(API)流量。
Akamai的Serto說：「基於CDN的方法還將保護應用程序免受應用程序層攻擊，例如SQL注入、跨站腳本攻擊和遠程文件包含攻擊，以及憑據濫用攻擊–使用機器人進行自動化。」
Gartner公司的Kaur表示，儘管大多數清理服務提供商都提供強大的DDoS緩解功能，但企業應對提供商進行評估，包括其基礎架構容量、服務水平、經驗和訂價等。
Kaur說：「企業須要在不一樣層級部署多種拒絕服務防護措施，不只僅是購買單一安全產品或選擇單一服務提供商。全面的解決方案須要考慮雲清理中心、CDN、DNS保護、邊緣和應用DDoS設備。」

原文來自：http://netsecurity.51cto.com/art/201902/592075.htm

本文地址：https://www.linuxprobe.com/traffic-cleaning-defense-ddos.html編輯：馮瑞濤，審覈員：逄增寶