Radware:企业中必备的5大DDoS防护技术

2018-06-26 10:09:00 作者:ym 出处 : 比特网

  分布式拒绝服务(DDoS)攻击已经进入了1 Tbps的DDoS攻击时代。然而,Radware研究显示,DDoS攻击不仅规模越来越大;也越来越复杂。黑客们不断提出新的可以绕过传统DDoS防护措施的创新方法,损害企业的服务可用性。

  同样地,在线安全提供商也在加快脚步,推出新技术来阻止攻击者。然而,并不是所有的DDoS防护措施都是生来平等的。DDoS防护服务的质量和所能提供的的防护措施有很大差别。

  为了确保能够防御最新和最强大的DDoS攻击,企业必须确定其安全提供商可以提供应对这些最新威胁的最佳工具和技术。

  以下是企业现代DDoS防护措施中的5项必备功能:

  必备功能1:应用层DDoS防护

  应用层(L7) DDoS攻击已经超过网络层(L3/4)攻击,成为了最广泛的攻击矢量。据Radware 2017-2018年ERT报告称,64%的企业都面临着应用层攻击,相比之下,面临网络层攻击的企业仅为51%。

  事实上,据ERT报告称,在所有攻击类型中(包括网络层和应用层),HTTP洪水是排名第一的攻击矢量。此外,SSL、DNS和SMTP攻击也是常见的应用层攻击类型。

  许多在线安全服务都承诺可以通过WAF实现L7层DDoS防护。然而,这通常需要在DDoS防护机制的基础之上订阅昂贵的附加WAF服务。

  这些趋势暗示了,现代DDoS防护已经不只是为了防御网络层DDoS攻击。为了让企业得到充分保护,现代DDoS防护措施必须包含可以防御应用层(L7)攻击的内置防御措施。

  必备功能2:SSL DDoS洪水防护

  目前,加密流量占了互联网流量的一大部分。根据Mozilla的Let’s Encrypt项目,全球70%以上的网站都是通过HTTPS传输的,这一比例在美国和德国等市场中更高。这些发现在Radware最新的ERT报告中都有所体现,目前,96%的企业都在一定程度上采用了SSL,其中60%的企业证实了,他们的大部分流量都是经过加密的。

  然而,这种增长也带来了重大的安全挑战:与常规请求相比,加密请求可能需要高达15倍以上的服务器资源。这就意味着,复杂的攻击者即使利用少量流量也可以击垮一个网站。

  由于越来越多的流量都是经过加密的,SSL DDoS洪水成为了黑客越来越常用的攻击矢量。据Radware最新的ERT报告称,过去一年间,30%的企业都声称遭受了基于SSL的攻击。

  鉴于基于SSL的DDoS攻击的威力,对希望得到充分保护的企业而言,可以防御SSL DDoS洪水的高水平防护措施是必不可少的。

  必备功能3:零日防护

  攻击者在不断寻找新的方法,绕过传统的安全机制,并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改,黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击。

  例如,一种常见的零日攻击就是脉冲式DDoS攻击,在切换到另一个攻击矢量之前,该攻击会利用高容量攻击的短时脉冲。这些攻击通常会结合许多不同的攻击矢量,依赖需要手动优化的传统安全解决方案的企业在面对这些打了就跑的战术时往往会陷入困境。

  另一类零日攻击是放大攻击。放大攻击通常会采用请求和响应包大小严重不对称的通信协议。此类攻击会将流量从不参与攻击的第三方服务器上反射出来,放大攻击流量,进而击垮攻击目标。

  据Radware 2017-2018年ERT报告称,42%的企业都遭受了脉冲式攻击,40%的企业声称遭受了放大DDoS攻击。这些趋势说明了零日攻击防护功能在现代DDoS防护机制中的必要性。

  必备功能4:行为防护

  由于DDoS攻击变得越来越复杂,区分合法流量和恶意流量也随之变得越来越困难。对于可以模仿合法用户行为的应用层(L7) DDoS攻击而言尤为如此。

  许多安全厂商采用的常见机制就是基于流量阈值来检测攻击,并使用速率限制来限制流量峰值。然而,这是一种非常粗糙的攻击拦截方式,因为此方法无法区分合法流量和恶意流量。在流量显著增加的购物季等活动高峰期,这是一个非常严重的问题。速率限制等单一的防护机制无法区分合法流量和攻击流量,最终会拦截合法用户。

  然而,一种可以更有效检测并拦截攻击的方法就是采用了解什么是正常用户行为的行为分析技术,并拦截所有不符合这种行为的流量。这不仅可以提供更高水平的防护,而且可以实现更低的误报率,并且不会在流量高峰期拦截合法用户。

  因此,采用了基于行为分析的检测(和缓解)的DDoS防护措施确实是有效的DDoS防护中的必备功能。

  必备功能5:详尽的SLA

  企业服务水平协议(SLA)是企业安全提供商承诺为其提供的保障。毫不夸张的说,企业安全完全取决于企业的SLA。

  许多安全厂商都大肆宣扬自己的能力,但一旦到了要做出实际承诺的时候,他们的宣扬就会化为泡影。

  为了确保企业能获得安全厂商宣传手册上描述的所有服务,企业需要告诉安全厂商要采取切实措施,并提供详细的SLA,其中包括对检测、缓解和可用性指标的具体承诺。SLA必须涵盖整个DDoS攻击生命周期,以便确保企业在任何场景下都能得到充分的保护。

  如果企业的安全提供商无法提供此类承诺,企业就应该对该厂商能否提供高质量的DDoS攻击防护产生怀疑。这也是细粒度SLA能成为现代DDoS防护措施中必备功能的原因。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。