抗DDoS攻擊 Arbor Networks獨特「金鐘罩」

當前 DDOS 攻擊層出不窮，它雖然是網路空間中一種最為簡單粗暴的攻擊方式，但卻是讓全球大型服務供商談虎色變的話題。在日前Arbor在京舉辦的媒體見面會上，Arbor Networks大中華區總經理金大剛為我們揭秘ArborNetworks有獨特「金鐘罩」本領。

▲Arbor Networks大中華區總經理金大剛

DDoS攻擊野蠻增長呈現新變化

隨著互聯網、IoT技術的飛速發展，黑客攻擊手段的不斷變化，DDoS作為分散式攻擊也正在呈現規模變大、攻擊頻率高的趨勢。金大剛表示，根據2016年世界經濟論壇的調查結果顯示，網路犯罪已達4450億，所以很多黑客就會想辦法從裡面獲得一些利益，網路犯罪呈現M型(兩級)化趨勢，一種呈大規模大範圍的普通攻擊，另一種呈具有針對性的強力攻擊。

傳統DDoS是屬於用牛蠻之力消耗網路帶寬或使用大量數據包淹沒一個或多個路由器、伺服器，猶如天馬流星拳一樣，而新形態的DDoS攻擊更加像狙擊手一樣，針對目標應用行為、通信協定等各方面進行攻擊，其次，攻擊速度越來越快防不勝防，當然慢型的比較微量的但卻足以拖垮客戶服務應用器的攻擊行為也在飛速增長，如比特幣勒索等。

同時，攻擊方式也越來越多變，不再只有單一的應用攻擊行為，且發生的頻率也越來越高，攻擊變得越來越複雜，攻擊的高度也越來越大。

傳統DDoS防禦難敵新形式攻擊

基於不同的目的， 如因政治事件、偷窺敏感資料、商業利益衝突，DDoS攻擊方式便有不同的型態，及不同的排列組合方式進行。

金大剛指出，目前DDoS攻擊分為三種形態，第一種洪水攻擊(塞爆帶寬的暴力攻擊)，第二種狀態耗盡攻擊( 針對安全設備耗盡其狀態表的攻擊)，企業所用的防火牆、IPS、WAF、Anti-DDoS、Load Balancer都是有狀態表的設備，都有最大會話數的限制，如果最大會話數被黑客沾滿，則合法流量無法進來;第三種是應用攻擊(針對用戶應用進行的攻擊)。

市場上防禦DDoS攻擊也分為三種，第一種是 FW/IPS/WAF/LB安全設備，但本事不是為了DDoS防禦所設計， 這些有狀態表(Stateful)設備， 容易被黑客利用狀態耗盡攻擊， 自身難保 !

第二種是當地運營商/流量清洗中心，但 運營商欠缺DDoS防禦縱深，提供有限的流量清洗能力，當暴力流量攻擊發生時，將無法有效清洗，無法主動偵測L7等攻擊行為，當大流量攻擊來襲時，即使運營商攔截90%流量攻擊，剩餘10%也能打垮客戶承受。

第三種是CDN抗DDoS攻擊，但欠缺防禦廣度， 不能阻擋非網頁型態的攻擊行為，只能是局部性的、片斷性的，不能保護所有。

針對這一現狀，Gartner、 IDC、 Frost & Sullivan、 Ovum 或 Infonetics等國際知名調研機構一致倡導「 Layered DDoS Attack Protection」 概念， 即是階層式的DDoS防禦手段，其中包括了兩個元件，要有一個清洗服務，另外還要有一個本地端的保護設備，既防禦了針對3-4層的海量攻擊，又實現了對7層攻擊的二次過濾，達到阻擋 DDoS 攻擊的效果。

Arbor 獨特「金鐘罩」防禦DDoS攻擊

Arbor是如何防禦DDoS攻擊呢?金大剛強調，Arbor 的 Pravail Availability Protection System(以下簡稱 APS )設備是全世界獨一無二的無狀態表架構，對於洪水攻擊，沒有最大會話數的限制，只檢查DDoS,不需要記錄及聯線會話等，因而可以防禦layer7最大會話數攻擊。

其次，Arbor有豐富的指紋知識庫，在DDoS領域收集來的指紋知識庫遠比其他人要多非常多，從根上就有優勢，也可以認為是Arbor的DNA.

最後Arbor的設備具備對戰學習模式的能力，可以根據黑客的行為進行判別，降低誤判概率，具備全方位阻斷手法。

最後，十六年磨一劍，Arbor設備已覆蓋全球95%的一級運營商，與全世界400家最重要的運營商都有合作協議，運營商會及時把他們的樣本流量直接透過Arbor收集器直接進到Arbor的數據中心，Arbor可以看到全世界40%的流量，這是其他所有安全的廠家所做不到的。

除此之外，Arbor還跟全世界高達100個國家的ASERT交換情報，與Google合作推出一個全世界數位攻擊地圖，在Google上輸入Digital Attack Map,可直接看到全球正在發生的DDoS狀態。

「不可否認，多數用戶都傾向採用便宜產品，金大剛表示，採用頭痛醫頭、腳痛醫腳原則不能真正解決問題，應該採用階層式的DDoS防禦手段，相信預防勝於治療。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！