经验分享 阻止DDoS的最佳途径

分秒必争，与攻击者对抗到底



遭遇分布式拒绝服务攻击（DDoS）就像是你家里发洪水了。没有任何征兆，攻击者撂倒了企业。分秒必争，但是不幸的是在DDoS识别和报告的时候，损坏已经发生了。企业需要更加快速的威胁检测来阻止每一次灾难的发生。

DDoS攻击企业网络时，在安全/网络人员完全意识到实际的DDoS攻击之前会经历很长一段时间，而服务已经受到影响，而且不是一个服务器或者应用失败。在真正的减缓策略开始真正起作用之前还要经历一段时间。

容量耗尽式攻击，是毁灭性的，在用户和内部服务监控系统注意到他们产生的影响之前需要一段时间。应用层攻击更难检测，由于低流量的配置，导致很容易通过检测雷达。减缓策略过晚开启时，破坏已经完成：防火墙状态状态表不堪重负，导致重启或者更糟糕。服务对于合法用户不再可用。

部署方法和检测

有很多方法可以让安全团队获得网络视角。最流行的方法之一就是流量抽样，实际上所有的路由都支持一定形式的流量技术，比如NetFlow、IPFIX或者sFlow。在这个过程中，路由采样数据包，并导出包含这个包的信息的数据报文。这是在通用的技术，扩展性也很好，可以用于指出网络流量的趋势。

然而对于深层的安全分析目的，依赖采样并不完全，会错过很多信息。流量分析设备则可以评估长期的流量行为，避免误报。

通常DDoS防护部署采用流量分析设备，通过重新定向流量到减缓设备上对于事件作出反应，并且提示应该作出什么动作。这个方法对于收集流量进行分析扩展性很好，而且反应模型只是重新定向潜在的坏流量，允许一些带宽超额订购。但是这是一项风险业务，也意味着减缓时间会变成以分钟来计算。

为了达到最佳的检测并快速防御，部署高性能DDoS设备可能是绕不过去的地方。In-path部署可以连续处理所有入局通讯量（非对称），而且也可能有出局通讯量（对称）。这意味着减缓设备可以立即行动，以亚秒级的速度响应。要小心的是缓解解决方案要能够扩展到上行链路容量，以及多向量攻击期间的实际性能。

作为in-path检测和采样的替代方案，镜像数据包提供了可供分析的全部细节，同时未必是路径上的流量。这样就可以快速检测流量异常。虽然在大型网络总设置一个可扩展的镜像解决方案极具挑战性，但是对于集中分析和缓解中心也是不错的方法。

关注性能指标

带宽对于很多人而言都是重要指标。在家庭网络链接购物时，人们进场对比带宽，虽然带宽很重要，正如很多事情一样，细节是最容易出错的地方。网络设备最终处理网络包，大小也有所不同。小的包使用更少的带宽，大的包则需要更大的带宽。网络节点主要的限制是由一个设备每秒可以处理的包的总数设定的。

以高速率发送很多小包，攻击者可以相当快速地对基础架构施加压力。尤其是传统安全架构，比如防火墙或者入侵检测系统。这些系统更易于遭遇无状态、高速率的攻击，比如很多泛洪攻击就是由于他们的状态安全方法导致的。

确保可扩展性

DDoS攻击，尤其是容量耗尽攻击，通常以极端的每秒包速率进入网络，企业需要的缓解方案需要充足的包处理能力。扩展分析基础架构也是很重要的考虑。流技术扩展相当好，但是成本巨大：这种方法折中了力度和缓解时间。

如果企业所选的厂商提供的性能数据匹配你的网络规模，要知道实际情况性能可能会更低。目前的攻击趋势是使用多个攻击向量，多重攻击方同时发动攻击。数据表性能指标提供了匹配产品和企业需求的良好指标，但是还是要测试一下减缓解决方案，通过各种测试验证一下方法，看是否能够对抗实际环境中的一系列攻击。

定期验证网络安全性能对于确保企业安全解决方案至关重要，以便能够有效应对各种同步攻击。对于网络攻击而言，越快知道发生了什么，便能尽快采取行动，确保应对解决方案行之有效。

    关注 微文阅读推荐