大規模DDOS防護解決方案

自Internet誕生以來,惡意行為者已將分布式拒絕服務(DDoS)攻擊作為一種攻擊形式,作為惡作劇,蓄意妨害競爭對手或對意見相左者進行報復的抗議手段. DDoS攻擊以壓倒性的流量淹沒網站,網絡和云,導致故障或服務中斷,從而拒絕那些依賴網絡開展日常生產生活的合法用戶來訪問網絡。 據估計2017年企業被DDoS攻擊而造成的平均成本超過250萬美元。

挑戰

如今幾乎任何人都可以以不到100美元的成本輕松發起導致嚴重后果的分布式拒絕服務(DDoS)攻擊-無需任何程序開發經驗。

DDOS租用服務從技術和成本方面都降低了犯罪分子展開攻擊的門檻。 隨著物聯網(IoT)的興起,由于這些海量互聯的設備提供了巨大的數量規模以及缺乏基本的內置安全性,它們已成為黑客喜歡的目標。 2016年Mirai IoT僵尸網絡控制了全球近100,000個已連接設備;這些設備被用來對域名系統(DNS)服務提供商Dyn發起DDoS攻擊,峰值容量為每秒1.2 Tbps,導致超過四個小時的服務中斷和停機時間。 Mirai僅僅是個開始;從那時以后又出現了諸如JenX,Hajime,Satori和Reaper之類的木馬變體,使攻擊變得越來越復雜,越來越難以防御。

租用DDoS服務的可用性不斷增長,以及數十億激增的不安全的IoT設備,導致DDoS攻擊顯著增加。根據Corero最新的DDoS趨勢和分析報告,企業組織在2017年第三季度每月平均經歷237次DDoS攻擊嘗試,與上一季度相比增加了35%,相當于每天被進行8次攻擊嘗試。 而現在向5G網絡的演進只會通過增加可用帶寬,為從受感染的設備產生攻擊流量提供更強大的管道,而使問題更加復雜。

隨著DDoS攻擊在頻率,規模和復雜程度方面的增長,帶外流量清洗中心和手動干預等傳統防御措施已變得效果不佳且成本高昂。在大規模攻擊的情況下,將可疑流量重定向到清洗中心會增加延遲,并帶來巨大的財務負擔,因為流量清洗成本與數據流量大小正相關。 而且這種傳統方法還需要人工分析和人工干預,這給補救過程增加了更多的延遲和成本。使用這些方法,在檢測到攻擊和緩解攻擊之間可能需要長達30分鐘的時間,這在DDoS攻擊可能在幾分鐘之內就使網站癱瘓的時代是無法接受的。

在一個永遠在線的世界中,停機對于任何企業都是一個大問題,運營商和企業必須認真地重新審視其現有DDoS保護策略,并考慮采用新技術以更低的成本提供更快,更有效的保護。 IP網絡應作為防護大規模DDOS攻擊的第一道防線,成為整個防護解決方案里不可或缺的一部分. 同時遙測,機器分析和網絡可編程將使檢測攻擊和攻擊防護過程更加智能,自動和靈活。

Juniper 和Corero DDoS 防護解決方案

Juniper和Corero 合作開發了一種DDoS保護聯合解決方案,該解決方案可以通過快速識別,精確判斷,以及在網絡關鍵位置的自動防護以及持續監控來自我修復網絡(圖1)。

有效DDoS保護的較好實踐應盡可能靠近攻擊源實施防護,通常在網絡邊緣。因此三個常見的DDoS防護位置是運營商對接點,數據中心邊緣和用戶邊緣。

Juniper-Corero網絡安全DDoS聯合解決方案是高效,自動化,并以比其他可用DDoS解決方案更低的成本可擴展到多TB容量。 它運行在網絡邊緣運行, 采用以下技術來檢測和防護DDoS攻擊(見圖2):

? 部署在網絡邊緣的Juniper MX系列路由平臺可通過流量采樣鏡像(包括報文頭和有效負載)來監控入口流量,并可根據攻擊動態擴展以適應威脅的規模。
? 該系統使用基于規則和機器分析的組合來檢查數據源中的每個數據包,以從而快速準確地檢測任何DDoS攻擊流量。
? 在幾秒鐘內,TDD就將識別任何攻擊并自動生成靈活的訪問控制列表,以通過MX系列路由器阻斷攻擊。
? TDD通過NETCONF協議自動配置MX系列路由器,以部署短期存活的臨時配置,該臨時配置應用訪問控制列表以在最接近攻擊源的入口點阻止DDoS數據包。但允許正常業務流量流向其預期目的地,而不會降低任何轉發性能。
? MX系列路由器上的遙測功能將轉發/阻止的流量統計信息轉發到Corero SmartWall TDD。
? SmartWall TDD SecureWatch Analytics系統可以在攻擊發生之前,之中和之后全面了解網絡流量。這個由Splunk驅動的應用程序為運營團隊提供了有關攻擊防護效果的摘要和其他詳細情報。

該過程將貫穿DDOS攻擊的整個生命周期,直到鏡像樣本表明流量入口點不再受到攻擊為止,此時SmartWall TDD將刪除MX系列路由器上的訪問控制列表并恢復正常運行狀態。 流量采樣鏡像和遙測仍繼續從MX系列路由器流向Corero的TDD,以確保流量恢復正常且同時監視下一次攻擊。

該運行模式是完全自動化的,從而確保業務運營受到完全的保護,并且始終向運營團隊提供業務可見性。

功能和優勢

Juniper-Corero DDoS聯合解決方案將數據包級別流量檢測與基于基礎設施的防護功能相結合,可以對前所未有的數十T規模DDOS攻擊進行全自動地實時防護,同時大大降低成本。

降低DDOS防護成本

利用MX系列路由平臺強大靈活的訪問控制功能,可以分布式部署在網絡邊緣直接丟棄惡意流量。 而不是將所有受到攻擊的業務流量重定向到帶外的集中式流量清洗中心來清洗,這樣會增加延遲和成本. Juniper-Corero解決方案幫助運營商和企業大幅減少了與攻擊流量大小正相關的DDoS防護成本,避免了昂貴的容量升級。 此外超過95%的聯動保護是全自動,無需操作員或分析人員干預的, 與傳統的依靠人工頻繁干預的解決方案相比大大降低了總體擁有成本。

快速響應提高用戶體驗

自動化意味著DDoS攻擊可以在幾秒鐘內被識別和阻止,這相對于傳統方法是巨大進步,后者很大程度上依賴于人工干預,可能需要30分鐘甚至更長時間。 速度決定結果,通過有選擇地阻止攻擊數據包同時保留合法流量繼續轉發,Juniper-Corero聯合解決方案可確保即使在攻擊高峰期間也不會影響客戶業務。

流量可見性,資源消耗比和防護有效性增強

Juniper-Corero解決方案可在數據包級別進行監控。與傳統的基于flow的檢測方法相比,基于數據包的檢測提高了有效性,并使管理員不僅可以查看報頭信息,還可以查看載荷數據。 另外,與IP Netflow輸出協議 (IPFIX) 相比,由于路由器不必聚合匯總大量數據,采樣鏡像對路由器資源只帶來很小的處理開銷。 最后聯合解決方案不需要拆裝; 它與分層DDoS防御模型中的現有解決方案無縫協作,其中網絡外圍的IP邊緣路由器是第一道防線,減輕了批量攻擊流量的負擔,并使用集中的清理資源來應對更復雜的應用層攻擊。

TB級擴展性

在無需通過網絡回傳給清洗中心DDoS流量的架構下, Corero SmartWall TDD最多可擴展到40 Tbps的線速DDOS防護能力,結合MX系列路由平臺最高80 Tbps的數據包轉發的能力,該聯合解決方案是當今市場可買到的提供較高可擴展性的DDoS防護系統。

總結 -低成本大規模實時DDoS防護方案

在多云,物聯網和5G時代,網絡攻擊不斷演進, 尤其是DDoS攻擊的強度,頻率和復雜性不斷增加,運營商和企業都需要探索新解決方案以提供更快速,有效的保護來增強其防御能力。

IP基礎網絡應該成為現代安全解決方案里抵御大規模攻擊的第一道防線。 通過遙測,機器學習和網絡可編程使檢測和防護過程更加智能, 自動和靈活。

Juniper-Corero DDoS聯合解決方案將數據包級別流量檢測與基于基礎設施的防護功能相結合,可以對前所未有的數十T規模DDOS攻擊進行全自動地實時防護,同時大大降低成本。

久久综合中文字幕无码,成年免费A级毛片免费看,日韩欧美亚洲每日更新在线,好黄好爽好猛好痛视频