在线客服 客服软件
在线客服系统

IDC: DDoS 防护亟需下一代解决方案- A10 Networks Anti-DDoS技术助力当下, 面向未来。

IDC: DDoS 防护亟需下一代解决方案- A10 Networks Anti-DDoS技术助力当下, 面向未来。

  关键词: IDC在近期发布的《全球 DDoS 防御产品和服务预测2017–2021中剖析了DDoS攻击与防御格局的最新变化及发展趋势,指出当前众多许多企业的基础设施中都存在过时的DDoS防护设备。这些企业在应对不断升级的DDoS攻击时,亟需动态化、智能化、自动化的下一代技术方案,才能处理如此海量、庞杂、多变的攻击。

  IDC指出,在当今天Anti-DDoS行业,针对下一代DDoS防御系统需求,A10 Networks 具有优越的技术定位,能够应对当前及未来的挑战,在全球下一代DDoS防护领域行业取得成功。


DDoS攻击格局的巨大改变


  在过去3年,Spamhaus黑名单长度剧增达到了难以置信的数十亿条;同时,随着IoT物联网的蓬勃发展,到2020年物联网设备的数量预测将超过500亿台,随之而来的物联网终端的攻击与威胁将与日俱增。

  一切预示着全新安全攻击时代的到来。IDC研究表明,企业不能再仅仅依赖于针对阻止单一攻击而设计,操作繁琐、行动迟缓、防护粗暴的过时Anti-DDoS 设备。

DDoS机不断

  IDC行业研究表明,DDoS攻击动机越来越宽泛,包括恶作剧、政治原因、财务收益或盗取知识产权。近期发生的很多攻击事件表明,任何机构不论规模大小、所处位置、及所属行业与否都是DDoS的潜在攻击对象;

DDoS的体量迅速增大

  传统的DDoS攻击通常是指全面泛滥的恶意通信,导致网络瘫痪、中断、业务受损。但是,随着当今海量物联网设备加入互联网,Mirai僵尸网络源代码的引入,以及像ReaperSatori这样的Mirai衍生产品,这些因素大大增加了DDoS的攻击体量和便利度。

近期引人注目的大型攻击之一是对知名记者 Brian Krebs 的网站的攻击,这标志着庞大物联网威胁的开始。攻击流量超过了 620Gbps,甚至导致DDoS 防御提供商无法承受巨额清洗成本,最终被迫与客户分道扬镳。

  IDC 认为,这种类型的攻击将会持续下去,而利用新一代媒介来破坏业务关键型服务的攻击也会持续发生。

DDoS的种

  早期的DDOS攻击的主要对象主要是对准OSI七层模型中的网络层和传输层,攻击手法也比较单一,ICMP Flood, Smurf Attack, IP/ICMP FragmentationSyn FloodUDP FloodTCP Flood等是主要的一些攻击种类。由于每次攻击覆盖的层面较少,还比较容易拦截。

  随着技术的发展,现在的攻击层面已经覆盖OSI 七层模型中的所有层面。如下图所示,不同的层面都有不同类型的攻击。从物理层的信号Sniffer, 到传输层的放大攻击和长连接TCP会话攻击,最终到应用层的针对DNS的攻击、各种HTTP加密攻击和慢速攻击等,攻击手法和攻击种类都发生了极大进化。

  “与传统的攻击形式相比较,当今攻击种类变得日益丰富,原来的攻击只是针对OSI七层模型中的一到两个层次进行,主要是网络层攻击或传输层攻击。现在的攻击者可以在OSI七层模型中的任意一层展开多点攻击,同时攻击者还可以同时对所有的层面发起攻击。

  当今所说的多向量攻击,就是在一次攻击活动中使用多点多层次的攻击方法来进行全方位的攻击。只要企业防御机制中的一点被攻破,攻击者就可以利用该点获取被攻击者更多的信息,从而寻找新的漏洞,进一步针对性的改变攻击方法,最终导致被攻击者的防御体系失效,致使被攻击者不能提供正常服务。
  由于此类攻击行为使用的攻击方法繁多,可以针对OSI七层模型中的所有层面,而且攻击方法会随着情况的变化而快速演变,这对企业的安全防御机制和人员素质提出了很高的要求,为企业的安全带来了众多新的挑战。


企业面临的空前挑战


  IDC调查显示,随着DDoS攻击格局的巨大变化,近 30%的受访者去年遇到610DDoS攻击,超过10%的受访者遇到 51100 次攻击。

  不幸的是,即使是已经部署了传统DDoS防护设备的大部分企业也不具备必要的人力与技术资源来应对迅速变异的DDoS攻击。

  除了DDoS攻击频率之外,企业在应对当前DDoS攻击威胁时还面临几项关键挑战:

  当攻击来临时,

  如何在最短时间内定义攻击源?

  如何精准清洗,保护合法流量?

  如何定制化保护海量被保护对象?

  如何最大限度降低人为因素对保护

  效果的影响?实现简易部署自动化操作

  如何和自身的运维系统简易融合?

  IDC认为,与其他安全领域类似,受制于DDoS攻击格局的迅速演变,无论是传统方案提供商还是企业运维方在DDoS防护领域普遍存在技能差距,这会影响到企业抵御DDoS 攻击的能力。同时,由于新一代DDoS 攻击本身的技术特性,对于企业IT主管而言难以证明 DDoS 防护的投资回报(因为它是一种可能发生的攻击),部分企业难以安排专门和适当的资源来抵御攻击。

  IDC建议,企业不能再依赖于传统的、只针对阻止单一攻击方位而设计的DDoS防护。

防御措施必须划分层次,保护企业免受内部和外部攻击,以及对基础设施和个人应用的攻击。

  因此,企业需要通过转向下一代DDoS防御解决方案从而获得各种效率。下一代方案的价值表现为:

  首先,下一代DDOS防御方案支持企业应对大范围和大规模的各种不同攻击,并且在阻止攻击的同时不会对正常业务造成影响。更确切地说,下一代方案可以精准阻止特定攻击,而不仅仅是将流量转送到空IP地址,这将保障被攻下的业务够继续正常运

  其次,许多攻击在设计时,意在通过模拟合法流量来欺骗传统的DDoS防御体系。而下一代解决方案足够智能,可以将攻击流量与合法的大带宽流量区分开来,并采取不会影响合法用户的适当行动。

  并且,下一代DDoS解决方案的另一大关键优势是能够利用智能威胁情报分析来更好地定义特定衍生性攻击

  最后,下一代解决方案可以使用自动编排响来改善防应时间,从而降低企业总体成本和专业度要求。随着机器学习和人工智能(AI)融入下一代方案,防护系统变得更智能,能够协助运维人员更快地做出自动化判断、决策与行动。


A10下一代DDoS防护方案


  针对当前DDoS攻击与防御的现状分析,IDC对下一代DDoS防御提出的要求,并且十分看好A10 networks的下一代DDoS防御方案;

  A10提供了当前全球业界性能最高的设备与针对性方案,其Thunder 14045 TPS在单台3RU设备中交付300Gbps440 Mpps的性能。

  此外,针对快速增长的DDOS攻击,A10提供了全方位的下一代DDoS解决方案,具体优势表现为:

·        混合防御: A10,可以为企业提供一个针对网络层攻击、应用层攻击、大流量攻击的单一向量攻击防御以及多维度、多向量的混合攻击防御的全面解决方案,在遇到各种泛洪型、协议漏洞型和其它复杂应用攻击的情况下确保服务可用性。

·        至高性能: 出色的性能和可扩展性可轻松应对最大规模的攻击。A10提供丰富的独立DDoS产品,借助从2300GbpsDDoS防御性能(集詳部署时性能高达2.4Tbps) ,及每秒440 million包的防御效率,Thunder TPS确保即使最大规模的DDoS攻击也可以得到有效应对以及快速的执行安全策略,为客户提供针对多维度攻击的最广覆盖范围

·       精准采样与定义: A10利用基于共计28种数据包速率、会话和比率指标项对流量进行精准探测,并通过无与伦比的500K+ FPS流量分析速率,于流量采样3秒后完成攻击检测,成就了A10 Thunder TPS高速、精准流量分析。与此同时,A10通过内置的60种常见DDoS攻击类型、多样化的身份验证方式、亚秒级流量与连接速率控制、协议和应用行为检查、精准的应用请求速率限制、96M容量黑白名单功能与智能威胁情报等功能,实现对高达64K被保护对象的高效、精准威胁防护


·       自动化: 全自动化的配置编排贯穿整个攻击生命周期,A10 Thunder TPS针对流量进行自动探测、分析、事件触发以及攻击防护。内置业界唯一的5级可自动升级缓解策略,根据攻击的严重级别进行策略自动升降级,减少耗时的人工干预与误报的附带损害,实现自动防护和威胁级别管理。最终完成各类攻击的自动缓解并报告受保护对象和服务以及DDoS事件详细信息。A10 DDoS威胁情报服务提供准确和及时的情报,在DDoS攻击影响业务关键型应用之前快速阻止攻击,Thunder TPS支持可扩展至多达9600万条目的类列表,实时更新威胁源并立即阻止DDoS攻击。通过将威胁情报功能与Thunder TPS智能自动化机制相结合,该解决方案可帮助简化部署、自动化战时操作并缩短响应时间

·       智能化集成: A10 解决方案是面向未来的。目前的解决方案不仅支持 IPv6,还可主动防御对 IPv6 协议和网络的攻击。同时支持可编程的策略引擎以及全面的APIs,用于与第三方系统进行集成。

  最后,IDC 认为,A10 Networks拥有良好的技术定位,能够根据上述诸多因素来应对上述挑战。通过提供全面的下一代DDoS防护解决方案(云和本地部署),配合自动化响应,A10可以为那些对当今众多选择感到困惑的企业,带来完善的下一代DDoS防护解决方案