對(duì)于安全產(chǎn)品類型,從防火墻、IPS、防病毒、漏洞掃描,到上網(wǎng)行為管理、WAF、負(fù)載均衡很多人能夠脫口而出,這些安全設(shè)備順序串接在路由器之后,企業(yè)網(wǎng)入口,對(duì)用戶信息系統(tǒng)提供安全防護(hù),是必不可少的安全設(shè)備。其中,尤以防火墻設(shè)備最為重要,是企業(yè)安全防護(hù)首選的設(shè)備。如果安全也有12生肖,防火墻毫無(wú)疑問應(yīng)該就是鼠老大。
但隨著APS設(shè)備日益受到關(guān)注,防火墻“鼠老大”的地位不保。那么APS是什么?為什么APS成為首要的選擇?
這就要從DDoS(Distributed Denial of Service,分布式拒絕服務(wù))攻擊說起。
說到DDoS,可以用談虎色變來形容。DDoS攻擊是指借助于Client/Server技術(shù),多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。攻擊者可以在幾秒鐘內(nèi)激活成百上千次代理程序?qū)δ繕?biāo)進(jìn)行攻擊。
DDoS攻擊流量近5年來飆升到1TB
有數(shù)據(jù)顯示,近5年來 DDoS攻擊的流量已經(jīng)從數(shù)十Gb飆升到1TB,設(shè)想一下,這樣的一個(gè)攻擊流量,對(duì)于企業(yè)用戶來說,無(wú)論如何難以抵擋。但是幸運(yùn)的是,這種被稱為暴力洪水式的DDoS攻擊已經(jīng)并不多見。原因在于,這種洪水式的攻擊通常會(huì)暴露受感染客戶端,導(dǎo)致資源被封,會(huì)損失攻擊者所掌控的寶貴資源。所以,有人將這種暴力洪水DDoS攻擊稱為“核武器”,不到萬(wàn)不得已時(shí)候,是不會(huì)輕易使用的。
DDoS攻擊形態(tài)
如今,攻擊者更傾向于采用更加具有針對(duì)性DDoS攻擊手段。目前,主要有兩種方式:狀態(tài)耗盡攻擊和應(yīng)用層攻擊。前者針對(duì)前面說過的防火墻等安全設(shè)備,因?yàn)檫@些設(shè)備有一個(gè)共同特征就是存在著“狀態(tài)特征”,狀態(tài)耗盡式DDoS就針對(duì)這些“狀態(tài)”實(shí)施攻擊,耗盡狀態(tài)資源。與暴力洪水相比,狀態(tài)耗盡DDos攻擊需要消耗的資源更,同樣可以達(dá)到攻擊、勒索的目的。應(yīng)用層DDos攻擊就是針對(duì)應(yīng)用軟件發(fā)動(dòng)的攻擊。
有數(shù)據(jù)顯示,如今狀態(tài)耗盡、應(yīng)用層DDoS攻擊逐漸遞增,已經(jīng)可以占據(jù)DDoS 總攻擊流量的50%。對(duì)于這種新型的攻擊,無(wú)論是運(yùn)營(yíng)商,還是傳統(tǒng)安全設(shè)備基本上是束手無(wú)策。原因在于運(yùn)營(yíng)商實(shí)施的檢測(cè)主要集中在網(wǎng)絡(luò)2層、3層;沒有辦法對(duì)于4~7層內(nèi)容實(shí)施檢測(cè),提供安全防護(hù);對(duì)于傳統(tǒng)安全設(shè)備來說,本身就是DDoS的攻擊對(duì)象。
階層式DDoS防護(hù)策略
針對(duì)DDoS攻擊新的特征。目前推薦的應(yīng)對(duì)方法就是階層式DDoS防護(hù)策略,在客戶端添加APS(Availability Protection System)設(shè)備。據(jù)Arbor Networks大中華區(qū)總經(jīng)理金大剛介紹,APS掛接在路由器之后,防火墻之前,是企業(yè)級(jí)安全防護(hù)的第一關(guān)口,較之防火墻等安全設(shè)備,APS是一種無(wú)狀態(tài)的設(shè)備,可以有效應(yīng)對(duì)狀態(tài)耗盡攻擊,同時(shí)借助多年的經(jīng)驗(yàn)積累,以及400多家ISP運(yùn)營(yíng)商的數(shù)據(jù)合作,可以有效應(yīng)對(duì)包括應(yīng)用層在內(nèi)的DDoS攻擊。
APS掛接在路由器之后,防火墻之前
很多時(shí)候,企業(yè)級(jí)用戶會(huì)感覺到系統(tǒng)響應(yīng)緩慢,更多會(huì)把原因歸咎于網(wǎng)絡(luò)接入穩(wěn)定性等客觀條件,從而忽視了來自網(wǎng)絡(luò)的DDoS攻擊,這些攻擊不僅占用企業(yè)寶貴網(wǎng)絡(luò)資源,與此同時(shí),也會(huì)時(shí)刻威脅企業(yè)信息系統(tǒng)的安全。
亡羊補(bǔ)牢,是時(shí)候關(guān)注APS網(wǎng)絡(luò)安全設(shè)備了!