DDoS攻击被企业和安全厂商视为最大的敌人。CNCERT发布的《2011中国互联网安全态势》显示,DDoS攻击显现出频率高、范围大和转嫁攻击等特点。CNCERT抽样监测发现,我国境内日均产生攻击总流量超过1GB的较大范围的DDoS攻击事件为365起。其中TCP SYN FLOOD和UDP FLOOD等常见的虚假源IP地址攻击事件约占70%,对其溯源和处置的难度较大。
76%DDoS攻击针对骨干网
随着骨干网络带宽的提升,DDoS攻击也将目标集中于互联网及运营商。DDoS成为骨干网面临的最严重的安全风险。近日,绿盟科技发布《2012年上半年安全报告》指出,与攻击目标的多样化相比,黑客攻击手段的变化其实不明显,DDoS成为目前最为危险的攻击手段。在DDoS攻击中,针对互联网和运营商企业的攻击占比高达76%,对金融、政府、媒体、能源等传统行业的攻击约占24%。
对此,小刀网络负责TAM异常流量清洗系统和流控系统的产品经理赵承刚认为:“DDoS已沦为网络虚拟空间的战争工具、掠财工具和恐怖活动的工具。“黑客利用毒虫、僵尸网络等各种技术手段相结合来散发DDoS攻击,使DDoS攻击更加难以防范。”
在攻击类型方面,绿盟科技的报告显示,消耗服务器计算连接或者目前最主要的攻击类型,其次是消耗业务服务器计算能力、消耗带宽资源。对此,赵承刚认为:“DDoS攻击的流量愈来愈高,在梗塞网络和服务、下降用户体验、产生不良社会影响的同时,还会增加能耗。我们一定要斟酌数十GB、数百GB的DDoS攻击,由于即使是高承载力的骨干网络,也难以承受百GB级的DDoS攻击”。
在部署解决方案时,企业用户最头疼的问题是,即使是及时发现并且很顺利地对DDoS攻击进行了阻断,歹意流量常常已对企业网造成了很大影响。另外,抗DDoS攻击产品本身对网络性能酿成的影响也让企业难以承受,一些企业选择定期进行DDoS攻击检测,而不是实时部署解决方案,这给了黑客更多可乘之机。
平衡防护和性能
怎样在保证企业网络安全的情况下提升网络的性能,提升解决方案及产品的可用性?“小刀640G云清洗解决方案采取散布式云部署,专为百GB以上骨干网络设计,能够提供单集群80G、整体640G的高性能解决方案。”赵承刚介绍说,“小刀640G云清洗解决方案集全网异常流量精确检测、深度清洗攻击报文、集中管理与策略下发于一体,以组合拳应对异常流量攻击。”
小刀640G云清洗解决方案的散布式云部署,将8个集群散布部署在骨干网络中,每一个集群可以提供80G的清洗能力,同时借助负载均衡技术对解决方案进行优化,提升网络性能。这样做的另外一个好处是可以最大限度地将攻击尽可能阻断在黑客入侵的源头。“小刀网络的解决方案可以自动辨认DDoS攻击来源,将攻击流量牵引到就近的流量清洗装备,尽早将DDoS攻击消灭掉。”采取这样的解决方案,“企业网络变得非常顺畅,网络能耗也将极大下降。”
另外, 旁路部署的方式进一步提升了网络性能。只有疑似攻击流量才会被牵引到检测装备,正常的流量的传输其实不经过检测和清洗装备。“这类方式下降了解决方案本身对企业网络性能的影响,最大限度地实现网络和安全产品的高性能。”
