作为一个最佳实践,多层次防御已得到了安全行业的接受和认可;为了应对日益猖獗的DDoS威胁,需要同样这种方法。互联网服务提供商/管理安全服务提供商(ISP/MSSP)必须阻止容量耗尽攻击和大规模的状态表耗尽攻击,但是发现应用层DDoS攻击的工作一般需要在ISP的边缘或者数据中心内部来完成。那是由于,要发现应用层DDoS攻击比较困难,这种攻击常常不会被为了监测承载几十或几百千兆位流量的大型ISP网络而部署的检测解决方案所发现。
位于数据中心边界的DDoS检测和缓解解决方案应该能够提供基于数据包的检测功能,能够立即提供保护,防范各种各样的DDoS攻击;然而,ISP/MSSP另外需要云解决方案,那样才能在数据中心的外面阻止高带宽攻击、容量耗尽攻击和状态表耗尽攻击,它们可能会耗尽通向上游ISP的链接。
在理想环境下,这两种解决方案会通过信令技术来协同工作,从而提供完全自动化的多层次防御机制,以防范DDoS攻击。
为了获得最佳效果,数据中心的运营人员就必须与ISP密切配合,提供这种多管齐下的解决方案,为客户设计一款可以保护服务、远离DDoS攻击的解决方案——无论这些客户是公司企业,还是管理安全服务提供商。
