DDoS攻击侵入应用层,终极防御之道何在？

发布时间:2014-03-05 15:32 作者:佚名来源:IT专家网点击:加载中...次

尽管DDoS攻击已经成为老生常谈的网络攻击方式，但这种方式近几年却以更多的花样和更大的规模，给企业/用户带来巨大的网络安全威胁，且已从TCP/IP层上升到了应用层。

最近一次影响重大的DDoS攻击，当属日本比特币交易平台Mt Gox的遭遇。Mt Gox因系统缺陷而饱受争论，并遭遇到了一次“大规模DDoS攻击”，由于无法与比特币网络保持同步，比特币兑换率大幅下跌，交易平台暂停取现，最后5亿美元比特币被盗，Mt Gox倒闭。

在此前的2014年2月11日, 美国云安全服务提供商CloudFlare透漏其客户遭受400G的NTP Flood攻击，刷新历史DDoS攻击的流量峰值，并使得NTP Flood攻击备受业界关注。

DDoS(分布式拒绝服务)，英文全称Distributed Denial of Service，是一种基于DoS的特殊形式的拒绝服务攻击，主要瞄准例如商业公司、搜索引擎和政府部门等比较大的站点。DDoS攻击通过多台受控机器向某一指定机器进行攻击，攻击方式大多简单粗暴，来势迅猛防不胜防。

更可怕的是，通过现有的一些工具，发起DDoS攻击也变得越来越容易，那些对计算机技术并不精通的用户也能发起DNS反射攻击。而媒体报道也显示，DDoS攻击已经愈演愈烈。

那么，现阶段企业应当如何防范DDoS攻击呢?A10安全专家认为，想要有效防御DDoS攻击，用户首先必须采用高性能网络硬件产品来保护好“满腹宝藏”却“手无寸铁”的网络设备;其次还需注意，更为复杂的应用层(L7)攻击正在不断增多，需要得到深度包检测(DPI)产品的保护。而防火墙、入侵防护系统(IPS)等传统安全解决方案由于设备设计架构所限，没有足够能力应对大规模的DDoS攻击。而事实上，安全基础设施常常是DDoS攻击的直接目标，如果连网络安全系统都遭受到破坏，那么在后方受其保护中的那些服务就更是变成了浮云。

基于这样的思路，A10推出A10 Thunder TPS系列威胁防护系统帮助客户解决这样的现实安全问题，该系统可为服务提供商和大型企业提供高性能、全网范围的防护，有效抵御DDoS攻击，在遇到各种泛洪型、协议漏洞型、资源耗尽型和其它复杂应用攻击的情况下，都能确保服务的可用性。同时进一步优化现有安全解决方案，使其有足够的能力应对大规模DDoS攻击。

据悉，Thunder TPS产品系列基于A10 Networks极具扩展性的ACOS高级核心操作系统，并采用了A10 SSMP(可扩展的对称多处理)架构，可提供出色的高性能，利用共享内存技术来高效地跟踪网络数据流，为服务提供商、网站运营商及企业提供精确的DDoS攻击防护。TPS以最高效的硬件产品为关键应用交付可靠的保护，确保数据中心资源得到高效利用。小巧的外形和出色的性能相结合，可帮助客户通过大幅度降低对电源、机架空间和冷却的要求来降低运营支出。

· 多级DDoS防护确保服务可用性：随着客户对服务可用性及互联网连接依赖性的日益加重，故障停机就意味着收入损失。Thunder TPS可有效抵御多种类型的攻击，包括泛洪攻击、协议漏洞型攻击、资源耗尽型攻击和应用层漏洞型攻击，TPS可及时检测并防御这些攻击，确保服务可用性。此外，借助A10 Networks的aFleX深度数据包检查(DPI)脚本技术，还可以根据需要对高级应用层(L7)攻击采取定制化的应对措施。

· 性能可扩展性可适应不断增加的攻击规模：整个网络行业和商业分析师都正在关注DDoS攻击不断增加的趋势。不仅攻击发生频率不断提高，而且数量和复杂程度也与日俱增。借助从40到160 Gbps的DDoS防御性能(集群部署时性能高达1.2 Tbps)，Thunder TPS确保即使最大规模的DDoS攻击也可以得到有效应对。

所有Thunder TPS产品型号都采用基于高性能的FPGA(Field Programmable Gate Array)的FTA(Flexible Traffic Acceleration)技术，可在硬件中快速检测并防御30多种常见攻击，而不影响核心系统的数据CPU。更复杂的应用层(L7)攻击(HTTP、SSL、DNS等)由最新的Intel Xeon CPU进行处理，因此可通过将多维检测和防御功能分布到优化的系统来确保性能的可扩展性。

· 广泛的部署灵活性实现无缝集成：为轻松集成到各种网络架构中，用户需要一种厂商中立的灵活DDoS攻击防御解决方案。借助可支持带内和带外操作的灵活部署模式，再加上路由或透明运行模式，Thunder TPS可轻松集成到任何规模的任何网络架构中。通过A10 Networks的aXAPI(开放的RESTful API)，Thunder TPS还可集成到自定义的或第三方检测解决方案中。

目前，经济犯罪、政治目的、恶意竞争、敲诈等是黑客发起DDoS攻击的主要原因。随着DDoS攻击方式的翻新，规模的扩大，企业需要加强安全防范意识，提高网络系统的安全性。A10提供的解决方案，为我们带来的新的解决思路。

(责任编辑：安博涛)