DDOS攻擊給運(yùn)營(yíng)商帶來(lái)的損害
運(yùn)營(yíng)商網(wǎng)絡(luò)上經(jīng)常會(huì)發(fā)生多種類(lèi)型的攻擊����,而且攻擊流量巨大���,因此會(huì)帶來(lái)的嚴(yán)重的損害:
·服務(wù)器資源耗盡:海量的SynFlood等DDOS攻擊會(huì)造成運(yùn)營(yíng)商自身的以及重要客戶的關(guān)鍵服務(wù)器資源耗盡,造成關(guān)鍵業(yè)務(wù)應(yīng)用的中斷��,如DNS���、WEB等���。從而引起大面積的Internet訪問(wèn)故障和應(yīng)用停止。給運(yùn)營(yíng)商的業(yè)務(wù)和信譽(yù)帶來(lái)巨大損害�����,以及運(yùn)營(yíng)商及其用戶的經(jīng)濟(jì)上的無(wú)法估量的損失����。
·帶寬資源耗盡:運(yùn)營(yíng)商骨干帶寬資源較為充裕,但是下級(jí)客戶接入的帶寬資源有限�。大規(guī)模的DDOS攻擊可以輕易將客戶接入的帶寬完全占用,而導(dǎo)致大面積的應(yīng)用無(wú)法訪問(wèn)�����,或者客戶無(wú)法訪問(wèn)Internet。
我們?nèi)绾谓鉀Q安全威脅
為了防御運(yùn)營(yíng)商難以避免的而且日益嚴(yán)重的網(wǎng)絡(luò)威脅�,一些安全廠商也相應(yīng)發(fā)布了自己的DoS/DDoS防御安全解決方案。通過(guò)在運(yùn)營(yíng)商IP城域網(wǎng)或IDC部署這套安全防御解決方案�����,能夠讓電信運(yùn)營(yíng)商以很少的開(kāi)支����,幫助企業(yè)客戶保障網(wǎng)絡(luò)安全。
目前能夠提供DoS/DDoS防御安全解決方案的廠商也很多����,每個(gè)廠商所提供的DoS/DDoS防御機(jī)制不同,多數(shù)廠商都只是防御已知的DOS攻擊�����,缺乏對(duì)現(xiàn)在流行的“零日攻擊“和應(yīng)用層攻擊的防御手段���;目前業(yè)界做得比較好的廠商首推Radware公司的DoS/DDoS防御解決方案�����,Radware公司是業(yè)界第一個(gè)提供單臺(tái)6Gbits/s吞吐量的廠商�����。在DoS/DDoS攻擊防御領(lǐng)域具有很多領(lǐng)先的技術(shù)���,尤其是在防御未知DOS/DDOS攻擊(即“零日攻擊“)方面具有專(zhuān)利性的技術(shù)——基于行為的DoS/DDoS防御技術(shù),可以自動(dòng)學(xué)習(xí)��、自動(dòng)制定策略和報(bào)告�����。
我公司的IDC中也托管了很多企業(yè)的WEB站點(diǎn)����,自從業(yè)務(wù)開(kāi)展以來(lái),經(jīng)常遭受到DOS/DDOS���、HTTP Flood等各種惡意流量的攻擊,導(dǎo)致客戶無(wú)法正常運(yùn)營(yíng)���,對(duì)我司的日常運(yùn)營(yíng)和用戶滿意度也造成了嚴(yán)重的影響。
現(xiàn)在我公司已經(jīng)引入了Radware公司提供的DOS/DDOS防御安全解決方案����。在唐山分公司的IDC內(nèi)部署了一臺(tái)Radware的DefensePro6000 DOS/DDOS防御設(shè)備后���,防護(hù)效果非常好,繼續(xù)發(fā)生的UDP Flood�、TCP Flood及HTTP Page Flood等攻擊全部被Radware的DefensePro設(shè)備攔截。
DOS/DDOS安全解決方案也稱之為DoS/DDoS流量清洗解決方案�,即在運(yùn)營(yíng)商的城域網(wǎng)或IDC內(nèi)構(gòu)建一個(gè)全面的DoS/DDoS流量清洗中心,可以對(duì)外面惡意流量進(jìn)入客戶系統(tǒng)之前進(jìn)行有效的攔截���。防止運(yùn)營(yíng)商的增值服務(wù)受到DDoS攻擊的影響����,最大限度的確保其可用性���。
DoS/DDoS防御安全解決方案實(shí)現(xiàn)了下列目標(biāo):
·幫助運(yùn)營(yíng)商客戶有效地防御DDoS攻擊�����,從而最大限度地提高在線服務(wù)和業(yè)務(wù)的連續(xù)性��。解決方案可以幫助用戶清除攻擊流量和只允許合法流量使用從運(yùn)營(yíng)商網(wǎng)絡(luò)到客戶網(wǎng)絡(luò)的���、帶寬有限的連接���。運(yùn)營(yíng)商將以安全服務(wù)托管的形式向企業(yè)客戶提供這種保護(hù)。同時(shí)針對(duì)運(yùn)營(yíng)商的IDC�,還可以利用相同的防御系統(tǒng)防止他們的托管客戶的Web和其他電子商務(wù)應(yīng)用遭受DDoS攻擊����。
·確保運(yùn)營(yíng)商網(wǎng)絡(luò)中的網(wǎng)絡(luò)資源(例如路由器、DNS�����、SMTP�、電子郵件和WWW)具有足夠的安全性,不會(huì)受到DDoS攻擊的影響����。
·為運(yùn)營(yíng)商的增值服務(wù)部門(mén)提供了一個(gè)新的安全服務(wù)理念,可以根據(jù)客戶對(duì)安全級(jí)別要求的不同實(shí)施相應(yīng)的安全防護(hù)策略���,以提供增值服務(wù)的價(jià)值空間����。
DOS/DDOS防御部署設(shè)計(jì)
將兩臺(tái)DoS/DDoS防御設(shè)備旁路部署在兩臺(tái)城域網(wǎng)核心路由器上�,每臺(tái)DOS防御設(shè)備可以采用10G鏈路連接核心路由器��,兩臺(tái)DoS/DDoS防御設(shè)備構(gòu)成了“城域網(wǎng)安全防護(hù)/DDoS清洗中心”����,通過(guò)在核心路由器上做策略路由���,將被保護(hù)網(wǎng)段的數(shù)據(jù)流導(dǎo)向到清洗中心(如下圖)��,達(dá)到過(guò)濾掉DDOS攻擊流量��,放行正常訪問(wèn)流量的目的����。這種部署方案可以全面解決城域網(wǎng)的不同安全問(wèn)題�����,總體上看����,解決的思路是:“對(duì)攻擊流量清洗,對(duì)正常流量放行”�����,通過(guò)全面的技術(shù)手段對(duì)城域網(wǎng)及IDC中的不安全因素進(jìn)行過(guò)濾,以來(lái)保證城域網(wǎng)的安全��。
運(yùn)營(yíng)商DDoS 安全防御模式
DoS/DDoS安全防御解決方案的目標(biāo)是幫助電信運(yùn)營(yíng)商在城域網(wǎng)及IDC的安全層面上徹底消除隱患�����,并能夠?yàn)檫\(yùn)營(yíng)商帶來(lái)一種新的安全服務(wù)創(chuàng)收模式���。電信運(yùn)營(yíng)商可以將這種部署模式作為一種服務(wù),提供給他們的企業(yè)客戶�����。接下來(lái)我們將討論該解決方案可以通過(guò)哪些服務(wù)模式開(kāi)展DOS/DDOS防御��。
1���、網(wǎng)絡(luò)服務(wù)托管模式:在這種服務(wù)模式下����,解決方案讓電信運(yùn)營(yíng)商可以防止企業(yè)客戶的網(wǎng)絡(luò)遭到來(lái)自互聯(lián)網(wǎng)的DDoS攻擊��。這些攻擊不僅會(huì)影響企業(yè)內(nèi)部的應(yīng)用系統(tǒng)�,而且更為嚴(yán)重的是還會(huì)導(dǎo)致電信運(yùn)營(yíng)商和客戶網(wǎng)絡(luò)之間的連接帶寬被DDoS攻擊流量所占滿�。尤其對(duì)于金融和電子商務(wù)客戶而言��,這種攻擊可能會(huì)導(dǎo)致客戶的流失�����、聲譽(yù)的下降和財(cái)產(chǎn)損失����。
如果能夠及早檢測(cè)到DDoS攻擊,并盡可能地在網(wǎng)絡(luò)上游阻止它們���,就可以有效地消除DDoS攻擊的影響���。總體來(lái)看���,電信運(yùn)營(yíng)商可以利用解決方案�,在兩個(gè)服務(wù)層次為企業(yè)客戶提供DDoS防御功能��。(如下圖所示)
·獨(dú)享服務(wù)--我們把這類(lèi)客戶定義為金牌客戶����。這種高級(jí)服務(wù)適用于那些在線服務(wù)對(duì)業(yè)務(wù)的持續(xù)發(fā)展至關(guān)重要的客戶���,如電子商務(wù)網(wǎng)站、網(wǎng)上書(shū)店等��。解決方案可以為這些客戶單獨(dú)開(kāi)通一條清洗通道——即與該企業(yè)所產(chǎn)生的上游所有流量經(jīng)過(guò)一條獨(dú)享的通道進(jìn)行清洗����,這樣可以為這些客戶終端設(shè)備提供承諾的流量清潔容量,策略自動(dòng)學(xué)習(xí)和定制����,以及可選的DDoS檢測(cè)和清潔啟用功能
·無(wú)服務(wù)(No SLA)——沒(méi)有購(gòu)買(mǎi)安全服務(wù)的客戶無(wú)法享受異常流量清洗服務(wù)����,與這類(lèi)客戶通信的上游數(shù)據(jù)流將按照運(yùn)營(yíng)商正常的路由到達(dá)客戶端網(wǎng)絡(luò)。
圖:服務(wù)模式處理場(chǎng)景
這種架構(gòu)模式獨(dú)立服務(wù)于單個(gè)城域網(wǎng)內(nèi)的客戶群����,清洗中心也可以覆蓋電信運(yùn)營(yíng)商的整個(gè)城域網(wǎng),根據(jù)城域網(wǎng)接入的節(jié)點(diǎn)數(shù)部署對(duì)等數(shù)量的DOS/DDoS防御設(shè)備����。
2、主機(jī)托管服務(wù)模式:這種服務(wù)模式適合于運(yùn)營(yíng)商的IDC主機(jī)托管中心��。讓主機(jī)托管電信運(yùn)營(yíng)商可以為使用他們的Web托管和應(yīng)用模式的客戶提供DDoS防御功能。該服務(wù)將以對(duì)SP現(xiàn)有的托管服務(wù)的增值改進(jìn)的形式提供�,具體運(yùn)營(yíng)模式類(lèi)似于前面介紹的網(wǎng)絡(luò)服務(wù)托管的DDoS防御服務(wù)模式。
將DoS/DDoS防御解決方案部署在運(yùn)營(yíng)商IDC前端��,可以有效的防御來(lái)自上游的各種DoS/DDoS攻擊�,利用先進(jìn)的HTTP Minigation技術(shù)防御基于業(yè)務(wù)層面的HTTP Page Flood,以保證WEB服務(wù)的7×24小時(shí)可用性���。另外還可以有效的防御類(lèi)似蠕蟲(chóng)入侵���、掃描和主機(jī)的暴力破解(Server Cracking)等安全威脅。
DoS/DDoS防御能為運(yùn)營(yíng)商帶來(lái)哪些好處���?
·為電信運(yùn)營(yíng)商(SP)帶來(lái)的好處:DoS/DDoS防御安全解決方案能夠?yàn)檫\(yùn)營(yíng)商的網(wǎng)絡(luò)安全托管服務(wù)添加一個(gè)新的收入來(lái)源�����。這種新型服務(wù)讓運(yùn)營(yíng)商可以為大型企業(yè)客戶提供業(yè)務(wù)連續(xù)性服務(wù)�����,在保護(hù)網(wǎng)絡(luò)安全方面成為他們值得信賴的合作伙伴����。這項(xiàng)服務(wù)將讓運(yùn)營(yíng)商成為企業(yè)網(wǎng)絡(luò)的一個(gè)不可或缺的組成部分,可以在一段時(shí)間內(nèi)為企業(yè)安全保障提供多種安全服務(wù)�����,從而創(chuàng)造更多創(chuàng)收的機(jī)會(huì)���。
·為運(yùn)營(yíng)商客戶帶來(lái)的好處:通過(guò)在運(yùn)營(yíng)商業(yè)務(wù)網(wǎng)絡(luò)中部署DoS/DDoS防御安全解決方案��,可以提供業(yè)務(wù)連續(xù)性和增強(qiáng)客戶信心����。任何攻擊都會(huì)得到實(shí)時(shí)�����、主動(dòng)的防御�����,而且惡意流量會(huì)在網(wǎng)絡(luò)資源受到影響之前被立即清除��,可以幫助運(yùn)營(yíng)商客戶最大限度地減少保護(hù)資產(chǎn)所需的開(kāi)支����。
(作者現(xiàn)任職于中國(guó)網(wǎng)通(集團(tuán))有限公司唐山分公司設(shè)備中心)
