复杂的威胁需要全方位解决方案就DDos威胁的复杂性和对业务造成的影响而言,需要一个全方位的解决方案。许多管理人员对解决DDoS挑战的常见反应就是,相信他们的防火墙和IPS基础设施将保护他们免受攻击。不幸的是,这不是真的。尽管防火墙和IPS设备对网络中保护至关重要,但他们不足以防御DDoS攻击。
完整性和机密性与可用性的矛盾
许多管理人员依赖防火墙和入侵防御系统,此类系统已扩展了处理DDoS攻击的功能。防火墙和IPS设备专注于完整性和机密性。这些产品是为其他安全问题(实施网络政策和阻断入侵企图)而设计的。这些功能不能轻易扩展以便处理针对网络和服务可用性的威胁——DDoS攻击的焦点。防火墙和IPS设备无法组织广泛的分布式攻击或是用尖端的应用层攻击手段发起的攻击。Arbor通过研究,发现许多DDoS攻击针对防火墙和IPS设备。
防火墙和IPS可成为DDoS攻击的目标,因为他们是有状态的。有状态的设备跟踪连接中通过网络的每个数据包以查找恶意活动,并具有一套内置机制以防御已知威胁。由于许多DDoS攻击具有耗尽状态的性质,因此防火墙和IPS设备可能在攻击过程中失效。例如,Sockstress攻击,此类攻击可打开套接字来填充连接表,从而淹没防火墙和IPS设备。
Arbor防止您的业务遭受DDoS威胁
Arbor认为应对像DDoS这样的复杂威胁需要分层安全解决方案。首先,企业必须保护他们自身免受大流量和状态耗尽DDoS攻击,此类攻击可通过使用由一些互联网服务提供商或托管安全服务运营商提供的基于云的保护服务,令企业的互联网连接达到饱和;其次,企业必须使用基于边界的解决方案来防御应用层DDoS攻击。此外,基于边界的解决方案可通过让企业控制他们对DDoS威胁的响应来为企业提供保护。
基于云的DDoS保护
企业必须与上游IPS和MSSP合作以便防御大型洪水攻击。由于大部分DDoS攻击仍然是大流量或洪水攻击,企业应该要求他们的提供商提供干净的管道。
APS——Arbor Networks的Pravail可用性保护系统
DDoS攻击在规模和复杂性方面持续增长。而且,攻击背后隐藏的动机已不断拓展,业已涵盖意识形态黑客行动主义和互联网恶意破坏行为。这使得从社交网络到政府部门中的每个人都面临攻击风险。DDoS攻击的数量持续增长,DDoS仍然是一个不断发展的威胁。
传统的安全设备不足于保护网络及其提供的服务。尽力扩展这些产品的功能以防御DDoS攻击这一做法已被证明是无效的。颇值一提的是,尽管这些产品对组织的防御系统至关重要,但用于防御本地或云中的DDoS攻击的产品与之迥然不同。企业必须具备恰当的基于边界的产品,同时也必须具备合适的云解决方案。两全其美的办法是以无缝、自动的方式结合边界和云解决方案。
APS——Arbor Networks的Pravail可用性保护系统,执着于保障网络边界安全,使其免遭针对可用性的威胁,尤其可以提供针对应用层DDoS攻击的保护。该系统是为企业专门设计的,它提供开包即可使用、经过实践检验的DDoS攻击识别和缓解功能,此类功能可使用极少的配置快速部署,甚至可以在攻击发生的过程中部署。
