CTI論壇(ctiforum)7月30日消息(記者 李文杰):如今,公司和組織機構需要對網(wǎng)絡(luò )上許多不同類(lèi)型的DDoS攻擊有所準備。近日,瞻博網(wǎng)絡(luò )正式發(fā)布數項全新的增強功能,這些增強功能將路由器作為執行點(diǎn),使DDoS Secure解決方案能夠幫助網(wǎng)絡(luò )更好地防御攻擊。
DDoS 攻擊呈上升趨勢
在容量攻擊潛在地淹沒(méi)管道容量和攻陷邊緣設備并竊取背后受保護的資源情況下,在更靠近攻擊源的路由器化解容量攻擊便顯得非常重要。如果在邊緣準確地檢測到攻擊,然后傳達給上游路由基礎設施,公司便可以在靠近攻擊源的位置有效地阻止惡意流量,而且不會(huì )中斷正常的服務(wù),從而達到理想的防御效果。這種策略不但對緩減分布式拒絕服務(wù)(DDoS)攻擊非常有效,而且對于確保DNS可用性也成效顯著(zhù)。
但是,容量攻擊僅僅是問(wèn)題的一部分。 基于DNS的針對性攻擊對于企業(yè)和服務(wù)提供商同樣是一大問(wèn)題。現在,攻擊者可以通過(guò)多種方法,借助 DNS 摧毀網(wǎng)絡(luò )。考慮到服務(wù)提供商的核心DNS基礎設施,DNS 放大/反射攻擊(DNS基礎設施參與攻擊)或消耗攻擊(DNS基礎設施自身遭受攻擊)可能會(huì )導致網(wǎng)絡(luò )運營(yíng)停止,并對收入帶來(lái)嚴重的影響。例如,正如我們今年早些時(shí)候看到的Spamhaus和NTP攻擊一樣,當攻擊放大到100倍量級的GB時(shí),唯一的補救措施是在上游阻止攻擊流量。
網(wǎng)絡(luò )自身防御 DDoS
緩解DNS攻擊需要采取整體策略。在網(wǎng)絡(luò )邊緣本地檢測攻擊的同時(shí),還必須在路由器的上游更有效地緩解攻擊。離網(wǎng)絡(luò )邊界越遠,效果越好。這種組合拳可以最有效地防御DNS放大和反射攻擊。
但這是如何做到的呢?邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol, BGP)Flowspec是一種標準路由協(xié)議,該協(xié)議提供的機制可以在路由基礎設施正確地與本地DDoS解決方案相集成的情況下緩解DDoS攻擊。BGP Flowspec的粒度功能不但可以向下游的企業(yè)或數據中心提供干凈的管道,而且還可以盡可能靠近攻擊源阻止惡意流量。Flowspec的粒度使運營(yíng)商能夠在上游的惡意流量攻擊鏈接之前,只清除這些惡意流量,不需要將所有流量轉移到數據清理中心。
瞻博網(wǎng)絡(luò )之路
瞻博網(wǎng)絡(luò )的MX路由器具備BGP功能,為DDoS Secure提供了理想的補充。通過(guò) BGP Flowspec集成DDoS Secure和MX擴展了本地的應用程序層保護,使之包括從上游緩解更大規模的攻擊。基于啟發(fā)法的智能和針對MX上游執行的粒度攻擊過(guò)濾規則的這種組合效應,可以保證網(wǎng)絡(luò )不存在攻擊流量,而且不中斷正常的服務(wù),同時(shí)使運營(yíng)干預保持在最低水平。
瞻博網(wǎng)絡(luò )DDoS Secure是利用基于啟發(fā)法的DNS攻擊檢測方法并將緩解功能與上游MX路由器相結合的唯一解決方案,實(shí)現了靠近攻擊源進(jìn)行粒度、高效和分布式保護。將過(guò)濾器擴展到網(wǎng)絡(luò )邊界,使運營(yíng)商能夠處理威脅網(wǎng)絡(luò )重要服務(wù)(例如DNS)可用性的大規模DDoS攻擊。使用這種組合式的本地和網(wǎng)絡(luò )檢測與緩解攻擊策略,可以化解所DDoS攻擊--無(wú)論是基于DNS的攻擊還是其他攻擊。
