DDoS防护即服务.docx
- 文档编号:24136626
- 上传时间:2023-05-24
- 格式:DOCX
- 页数:14
- 大小:538.52KB
DDoS防护即服务.docx
《DDoS防护即服务.docx》由会员分享,可在线阅读,更多相关《DDoS防护即服务.docx(14页珍藏版)》请在冰豆网上搜索。
DDoS防护即服务
DDoS防护即服务
服务提供商的优势
白皮书
2011年7月
目录
1.DDoS在不断增长和演进...................................................................................3
2.DDoS攻击的层次:
防护挑战.....................................................…………………..3
3.DDoS服务提供商的成功标准................................................................................5
4.Radware面向服务提供商的攻击缓解解决方案......................................................7
5.攻击缓解:
部署战略及考虑因素............................................................................9
6.总结:
Radware的业务优势...................................................................................12
1.DDoS在不断增长和演进
简介
所有迹象都在表明,2011年上半年将成为有史以来DDoS攻击最活跃的时段。
网络黑客无处不在,所有的在线企业、政府部门或关键基础架构都可能成为攻击目标。
匿名和Lulzsec等攻击都增加了攻击频率并且大肆宣传攻击效果。
这些近期得逞的攻击很可能会进一步推动攻击者积极筹划未来恶意活动。
多安全漏洞攻击战役
去年,攻击者一直都在使用名为“多安全漏洞攻击战役”(MultiVulnerabilityattackCampaign)的新型攻击技术。
最多安全漏洞战役中,攻击者通过设置僵尸网络(或者指挥他们的粉丝,如多个匿名作战小组)面向网络层、服务器层和应用层等IT基础架构中的多个薄弱点同时发起多类攻击。
此类攻击战役破坏性极高,即使您已知道所有的攻击向量也不例外(例如:
面向未来带宽资源的UDP泛洪攻击;面向服务器资源的SYN泛洪攻击;以及面向web应用资源的HTTPGet泛洪攻击等)。
攻击对象处在高度风险之中,即使只有一个攻击向量击中目标,也将带来毁灭性后果。
攻击者认为,即便他们的攻击目标部署了DDoS防护工具,外围网络安全架构中也一定存在盲点,因此可被一些攻击向量所利用。
2.DDoS攻击的层次:
防护挑战
DDoS攻击的层次
在服务提供商看来,DDoS攻击可分成3类,如图1所示:
∙数据包和带宽DDoS泛洪攻击–攻击者通过发送大量数据包来消耗网络设备资源或带宽资源而淹没攻击目标。
SYN泛洪(每秒数据包数很高的攻击)、大型UDP数据包泛洪(带宽攻击)及ICMP泛洪等都属于网络DDoS泛洪攻击。
∙应用DDoS泛洪攻击–这些攻击生成完整的会话,以应用资源为攻击目标。
HTTPGet或Post泛洪攻击、DNS泛洪攻击及SSL泛洪攻击都属于此类攻击。
∙定向攻击–利用应用实施的薄弱点和设计缺陷而发动的应用DDoS攻击具有影响低、速度慢等特征。
Slowloris及循环缓存控制(Circle-CC)都属于这个攻击范畴。
只需利用极少的带宽,Slowloris便可通过一个设备使另一个设备的web服务器瘫痪;而Circle-CC则是通过跨越多个页面来系统化地扫描某个网站而淹没它。
此类应用级
DoS攻击可阻止目标服务器使用其缓存机制,借此来扩大影响。
图1:
DDoS攻击的层次,按攻击量从高到低的顺序排列
要想清除DDoS攻击,您需要采用分层防御方法,以便通过分层方法按照攻击量从高到低的顺序来消灭它们。
DDoS防护挑战
如想有效检测和消除不受欢迎的DDoS流量,服务提供商需要攻克以下挑战:
∙数据包和带宽DDoS泛洪攻击–很高的每秒数据包数(PPS)和带宽容量,准确缓解攻击。
∙应用DDoS泛洪攻击–将应用级DDoS攻击与合法流量集成在一起,以便有效隔离攻击与合法交易。
区分真正的用户与僵尸程序需要使用高级用户发问-应答技术。
因为所有的交易都是完全合法的流量,因此,成功的解决方案应该能够准确检测出僵尸程序用户并且只阻断这部分用户。
∙定向攻击–基于深层数据包检测来过滤掉影响低、速度慢的攻击。
因此,成功的解决方案应该能够实施多千兆位流量的RegEx过滤功能,但不对性能或延迟产生影响。
目前市场上的攻击缓解解决方案通常都能有效抵御数据包和带宽攻击,适度抵御应用DDoS攻击和定向功能,但对加密型DoS攻击束手无策。
因此,服务提供商需要在基础架构中部署多个工具或者开发自己的过滤工具来补充现成的攻击缓解产品。
3.DDoS服务提供商的成功标准
了解DDoS防护市场
现在,所有的在线业务都有可能成为DDoS攻击目标,包括电子商务网站、金融服务机构、政府部门及关键基础架构等。
您可以选用的DDoS防护方法如下:
∙自主开发的DDoS防护:
适用于大型在线企业。
这些通过提供互联网访问服务而获得收入来源的大型在线企业,通常通过部署其自主开发的网络安全工具以及所需的安全专业技术来抵御已知和新兴攻击。
部署可以是串联模式,也可以通过“专用”清洗中心而部署为旁路模式。
串联部署在检测和获悉流量模式以及为每个受保护的应用和服务器创建基准方面具有显著优势,将使检测系统变得非常敏感和准确。
∙DDoS防护服务:
适用于中小型在线企业。
这些中小型在线企业缺乏足够的预算来投资安全基础架构或者缺乏安全知识,因此将外围保护外包给网络安全服务提供商。
电信运营商/ISP将DDoS防护作为互联网访问或托管服务的增值项目提供给他们;专用网络安全服务提供商是另一个不断增长的市场,他们能够独立于业务结构来提供DDoS防护服务,无论他们是运行自己的基础架构、使用托管服务还是采用混合方法。
这些服务提供商通过云中的“公共”擦除中心来提供DDoS防护服务。
此外,大型在线企业可能也需要此类服务来“净化管道”,以防带宽饱和攻击。
本文着重讨论的是纯DDoS防护服务提供商,他们需要为多名订购了DDoS防护服务的客户提供防护服务。
企业部署托管安全服务的推动力
虽然降低成本曾是中小企业选择托管服务提供商的主要推动力,但Forrester调查1(见图2)明确显示,IT经理希望将网络安全事务外包给专业服务提供商是为了集中精力开展其核心业务。
1《MarketOverview:
ManagedSecurityServices》,ForresterResearch,2010年3月
图2:
企业部署托管安全服务的推动力2
DDoS即服务的成功标准
托管安全服务市场价值预计已达45亿美元,并且还在以15%的速度逐年增长。
这个市场的竞争极为激烈,并且DDoS防护服务提供商的数量日益增多,因此他们必须专注于自身的核心能力,以便履行客户服务水平协议(SLA),同时提高效率并且降低成本。
DDoS服务提供商的成功标准可总结为以下三点:
•全面防护DDoS攻击
-您能否有效检测出并且防护新兴的DDoS攻击?
-您能否检测出所有类型的DDoS攻击呢,包括影响低、速度慢的攻击?
•确保客户SLA
-您能否提供以客户为中心的具体报告和警报来体现您服务的全部价值?
-您能否在几秒钟或者几分钟内检测到并且阻断攻击呢?
-您能否避免处罚?
•运营效率
-您现成的防护措施真能应对大多数问题吗?
-您的攻击缓解解决方案能否与基础架构轻松集成(客户门户、SIEM、OSS和SOC等)?
在这个白皮书中,我们将介绍Radware攻击缓解解决方案是如何通过最佳方式来满足上述成功标准的。
2来源:
《MarketOverview:
ManagedSecurityServices》,ForresterResearch,2010年3月
4.Radware面向服务提供商的攻击缓解解决方案
Radware为DoS防护服务提供商提供最先进的攻击缓解解决方案,以便他们以下独特优势:
∙全面防护DDoS
∙履行客户SLA
∙运营效率
攻击缓解解决方案通常是部署在清洗中心,在旁路执行缓解任务,如图3所示:
图3:
典型的路径外服务提供商部署
正常情况下,互联网发送的流量应该直接流入客户网站。
一旦检测出攻击,服务提供商便会将客户流量改道至擦除中心,进而只为客户提供净化后的流量。
全面防护DDoS
Radware攻击缓解解决方案能够为三层防御提供最佳技术,如图4所示:
∙数据包和带宽DDoS泛洪攻击–基于DosMitigationEngine(DME),您可抵御高达每秒1200万数据包的攻击,而不会影响到整个系统解决方案。
DME使用Radware的防DoSNBA专利技术,能够检测出并且阻断所有类型的网络DDOS攻击。
您可检测多千兆位的合法流量,以便发现影响更低、速度更慢的攻击,将合法流量顺利转发至目的地。
∙应用DDoS泛洪攻击–多核CPU系统使用发问-应答技术来验证应用会话,以便发现僵尸程序生成的会话并且阻断它们。
∙定向攻击–ASICStringMatchEngine(SME)执行RegEx过滤任务,以便检测出并且阻断影响低、速度慢的应用DDoS攻击,而不会影响性能。
图4:
Radware攻击缓解解决方案–多层防御方法
这些现成的攻击缓解解决方案(无需手动介入)能够立刻检测出并且在几秒内成功阻断所有类型的DDoS攻击,而其他解决方案则需要几分钟之后才能启动防护措施。
Radware部署的DDoS防护技术
根据分层DDoS攻击缓解方法,您可部署不同的防护技术,每项技术都优化用于净化特定层次的流量。
∙PPS和带宽攻击:
o使用基于行动的实时病毒特征检测和防护技术来防护网络DDoS泛洪攻击(见图5)。
通过检测和使用攻击特征以及立刻开始阻断攻击活动,您可以动态创建Radware实时病毒特征;
o您可使用SYNcookie在与目标服务器建立会话之前先对流量来源进行验证,从而防护SYN泛洪攻击;
o您可使用基于速率的防护方法来检测并且阻断不受欢迎的流量模式,从而防护网络匿名攻击。
∙应用和连接DDoS攻击:
oHTTP和DNS发问-应答可用于阻断模仿合法用户行为的非法用户(僵尸程序);
o您可使用基于行为的实时病毒特征检测与防护方法来防护应用滥用攻击;
o您可使用基于速率的防护方法来检测并且阻断不受欢迎的流量模式,从而防护应用匿名攻击。
∙定向应用DoS攻击:
o自动更新静态RegEx过滤器(称为病毒特征)能够阻断已知攻击工具,甚至能够生成反攻击模式,进而能够显著减慢攻击设备的速度,使其无法发动攻击;
o使用用户创建的特殊过滤器来阻断特定的应用攻击。
图5:
实时病毒特征阻断规则示例,显示了TCP复位攻击的足迹及具体的信息规则
5.攻击缓解:
部署战略及考虑因素
部署考虑因素
如上所述,您可将攻击缓解设备部署在清洗中心。
这个系统的主要特性包括:
∙只检测入口流量–该系统只能基于入口流量的偏离情况来发现并且阻断攻击,包括通过发问-应答技术在非对称的环境中对流量来源进行验证等。
∙全面防护各层DDoS攻击:
o数据包和带宽攻击
o应用DDoS攻击
o定向攻击
∙这个攻击缓解系统只能检测正在遭遇攻击的流量,因此您无需学习如何使用该系统。
在没有遭到攻击的情况下,这个攻击缓解系统是不能看到客户流量的。
性能
清洗中心部署中必须包括大容量高性能平台。
当客户遇到攻击时,大多数甚至全部客户流量都要改道至清洗中心,包括攻击流量及合法用户流量。
因此,攻击缓解设备必须提供足够的容量来抵御DDoS攻击,同时几乎毫不延迟地转发合法用户流量。
鉴于此,攻击缓解解决方案必须包含以下两个硬件组件:
∙攻击缓解组件:
用于抵御DDoS攻击,这个组件本身即具有大容量或高PPS特征,每10G设备的能力至少应该是1000万PPS;
∙合法流量处理组件:
过滤掉大量的攻击流量之后,您将需要这个设备来处理合法流量,以便查找影响低、速度慢的攻击,并且将合法流量转发至指定目的地。
对于使用共享CPU和内存资源来同时处理攻击与合法流量的硬件攻击缓解解决方案,在攻击越猛烈的情况下,用于处理合法流量的资源越少,因此会加剧延迟,从而令服务提供商难以履行SLA。
监控与报告
以客户为中心的报告是履行SLA的主要工具。
服务提供商通过服务门户或者发送既定报告的形式为客户提供历史攻击信息。
另一方面,服务提供商的安全运营中心(SOC)需要实时获得有关高风险事件的警报,以便及时采取干涉行动。
Radware提供了集成SEM,将其用作攻击缓解解决方案的组件,这可为您带来以下优势:
∙最全面的客户报告生成引擎,包括几百个预定义的报告和监管达标报告。
例如:
o按目的地提供的昨天/上周/上个月的主要攻击报告;
o按威胁范畴提供的昨天/上周/上个月的攻击报告;
o主要攻击来源报告;
o长期攻击带宽报告;
图6:
预定义的报告示例,按客户显示了主要攻击事件
∙高级关联性警报:
警报功能提供强大的事件关联引擎,可基于预定义和用户定义的规则在满足标准时生成警报,也可及时采取适当的纠正行动。
∙警报示例:
oSOC警报:
客户关键应用遇到攻击;攻击规模超过了1Gbps门限。
接到这些警报后,供应商的SOC应该考虑采取进一步的行动。
o客户SLA警报:
客户已经连续30分钟遇到了高风险的攻击;客户的关键应用今天累计已被攻击超过5次;客户即将成为多安全漏洞攻击战役的目标。
这些警报可通过电子邮件发送给客户,以便实时显示SLA和ROI–Radware产品的特有功能。
∙轻松集成到供应商门户中:
o安全报告和警报均通过北行接口(SNMP)馈送至供应商门户,以便随后按客户逐一生成报告和通知。
o安全报告和警报均通过电子邮件(SMTP)提供。
这些报告可以是既定报告,通过电子邮件直接发送给客户;这些警报可在事故发生后直接通过电子邮件发送给客户或SOC。
o您可通过API直接接入Radware攻击缓解数据库,并且在运营商的门户中检索所有的安全事件信息。
SOC和ERT
Radware安全运营中心(SOC)通过持续查找应用安全漏洞和攻击工具,为RegEx引擎(SME)提供每周或紧急病毒特征更新。
此外,该中心还开发反攻击工具来击败基于僵尸网络的攻击。
Radware紧急应答团队(ERT)由知识渊博的专业安全专家组成,为面临拒绝服务(DoS)攻击的客户提供24x7全天候的实时服务,以便帮助他们尽快恢复网络和服务的正常运行。
Radware通过ERT为服务提供商提供后援产品专家支持,以便供应商的SOC能够帮助客户抵御复杂攻击。
因此,我们可与您共享知识和经验,从而帮助您履行客户SLA。
6.总结:
Radware的业务优势
本文描述的攻击缓解解决方案专门用于帮助托管服务提供商抵御攻击,尤其是DoS威胁。
这些解决方案提供全面的防护能力,能够同时抵御现在和未来的攻击。
它们的性能足以抵御大规模的网络和应用攻击,此外,它们还能与服务提供商的现有基础架构轻松集成。
Radware能够以最佳的方式,帮助为客户提供DDoS防护服务的服务提供商满足成功标准:
∙最佳的DDoS攻击防护能力,包括防御高PPS和高带宽的DDoS攻击、应用DDoS攻击以及定向攻击,这是业界唯一一款获得NSS“推荐”评价的AttackMitigator解决方案。
∙提供市场上最快的攻击防护速度(最多18秒)、最全面的集成SEM和具体的客户报告与高级警报功能,从而可确保服务提供商履行客户SLA。
∙提供最佳的即开即用防护套件,允许您的SOC集中精力攻克复杂的攻击并且立刻查看攻击足迹,从而在客户遇到攻击时能够节省宝贵的分析时间,从而提高运营效率。
Radware攻击缓解解决方案还提供以下优势:
∙通过部署多个攻击缓解工具,并在单一集成的DDoS防护解决方案提供内置的SEM,专用的DDoS防护解决方案可帮助您显著节省资本开支(CapEx)与运营开支(OpEx)。
∙业界性能最高的10G攻击缓解设备,可节省机架空间并且减少您需要监控和管理的设备数量,从而帮助您节省资本开支(CapEx)与运营开支(OpEx)。
©2011Radware,Ltd.版权所有。
保留所有权利。
Radware和其它所有Radware产品和服务名称是Radware在美国和其它国家的注册商标。
其它所有商标和名称是各自所有者的财产。
本文在美国印刷。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DDoS 防护 服务