现在各省DDoS清洗设备涉及厂家众多、差异性大,且暂无统一的集中管控平台实现实现DDoS攻击的全网协同处置。因此,建设全网集中统一的防御DDoS安全体系已成为网络安全领域的紧迫需求和目标。
随着IPv6、5G、物联网、边缘计算等新兴信息通信技术和相关各类应用行业的快速发展,当前接入网络的终端类型和协议类型越来越丰富多样,呈现出指数级的数量增长局面,在此情况下,数量众多的新型终端更容易被黑客操纵实施DDoS攻击,使防御DDoS的难度加大。
同时,当前DDoS攻击的攻击源、攻击目的、攻击方法以及攻击规模都在发生各种变化,从最初的自发式、分散式转变为专业化的有组织行为,呈现出攻击工具专业化、攻击目的商业化、攻击行为组织化的明显特点,由此带来的安全问题日益凸显。频繁发生、攻击规模与日俱增的DDoS攻击,降低了关键信息基础设施的性能,如网络带宽和质量、资源利用率等,进一步影响网络和各类系统的正常运行,给承载于网络之上的互联网业务和用户带来了业务风险和财产损失,造成较高安全威胁。
防御DDoS建设思路
骨干网级近源清洗
基于互联网开放性的特点以及“就远监测、就近处置”的思路,在攻击流量进入骨干网的最远端,即靠近攻击源的最近端,进行监测拦截、遏制攻击流量,可以避免攻击流量进入骨干网造成拥塞,能够节省大量骨干网带宽。近源清洗将清洗设备分散部署在靠近攻击源的位置,各部分清洗能力综合起来可达到较为可观的规模,且可以很好地弹性扩容。近源清洗能够使互联网分布式部署的攻击防护手段效益最大化,从骨干网层面为安全监控运维人员打通全局攻击溯源处置路径,同时对各级互联网上下协调、左右联动、分割管理提出了更高的要求。
近源清洗涉及的关键技术是流量牵引和回注,主要设备包括旁挂在骨干路由器上的牵引路由器和清洗设备。
部署高防IP
云时代的高防IP部署在各种云基础设施机房中,部署于云上的业务系统可通过高防IP进行代理发布,从而起到隐藏业务源站IP的作用。当云上业务系统遭受到DDoS攻击时,由于源IP被高防IP隐藏,高防节点即可对攻击流量进行清洗,实现对DDoS攻击目标的保护,同时将正常流量转发到源站IP,从而保证了源站IP访问的稳定性。高防IP可提供不间断、实时、低时延、小抖动的大流量攻击清洗能力,比较适用于游戏、直播、电商、在线交易等时延敏感型应用。
高防IP依托于机房中出口路由器大带宽网络的优势,能够提供T级别的防护能力,同时可支持溯源取证,为遭受DDoS攻击、需要调查取证的业务提供取证服务。其组成设备主要包括DDoS攻击检测设备、大流量清洗设备集群和回源负载均衡设备。
边缘网络抗DDoS发展方向浅析
随着5G、物联网的飞速发展,通过网络边缘节点接入互联网的终端设备越来越多,成千上万的边缘节点设备成为了DDoS攻击的潜在攻击源,带来攻击源头变化莫测、无限扩张、难以发现的问题,导致互联网DDoS攻击呈现出大规模、分布式的特征。
相应的在DDoS监测处置手段方面,由于攻击源和目标的分散性和隐蔽性,以及攻击流量在互联网中流经路由的不确定性,继续无限制扩大延伸在固定网中应用效果良好的区域性防护系统会存在较大难度,投资成本高但可行性差,效果也未必能符合预期,因此独立分割的监测体系和没有协同的处置体系无法较好解决这一问题。
面向边缘网络和节点的新一代DDoS检测防护手段将逐步向分布式协作体系演进,重点突出各接入边缘网络节点的协同性,提供就近的边缘化抗DDoS服务。同时,借助于网络功能虚拟化、云计算等技术构建高效合理的边缘网络节点协同分工体系,是实现早期防御DDoS有效快速、高准确性的方法。
在协同型DDoS安全防御体系中,各边缘节点之间建立一种P2P模式的网络结构,具有分布式基础架构与计算范式,同时将点对点传输、去中心化的分布式数据存储与共享、共识机制和分布式信任体系、加密算法防篡改等技术应用其中,构建一个具有区块链特征和优势的网络,可有效应对分布式DDoS攻击。
结束语
打造高效稳定的网络安全环境,首先就得做好防御DDoS攻击的各项措施,面对日趋复杂的DDoS攻击,单一组织或单一防护形态是难以构建协同的治理生态环境的。与独立集中式的DDoS攻击处置方法相比,协同防御方法具有更好的时效性和更低的成本,将攻击流量在网络的边缘通过大量闲置终端接入设备进行处置,避免了复杂的流量引流以及流量清洗设备的大量投入。
本文来自:https://www.zhuanqq.com/News/Industry/442.html
