復(fù)雜的威脅需要全方位解決方案
就DDos威脅的復(fù)雜性和對業(yè)務(wù)造成的影響而言,,需要一個(gè)全方位的解決方案。許多管理人員對解決DDoS 挑戰(zhàn)的 常見反應(yīng)就是,,相信他們的防火墻和IPS基礎(chǔ)設(shè)施將保護(hù)他們免受攻擊,。不幸的是,這不是真的,。盡管防火墻和IPS設(shè)備對網(wǎng)絡(luò)中保護(hù)至關(guān)重要,,但他們不足以防御 DDoS 攻擊。
完整性和機(jī)密性與可用性的矛盾
許多管理人員依賴防火墻和入侵防御系統(tǒng),,此類系統(tǒng)已擴(kuò)展了處理DDoS攻擊的功能,。防火墻和IPS 設(shè)備專注于完整性 和機(jī)密性。這些產(chǎn)品是為其他安全問題(實(shí)施網(wǎng)絡(luò)政策和阻斷入侵企圖)而設(shè)計(jì)的,。這些功能不能輕易擴(kuò)展以便處理 針對網(wǎng)絡(luò)和服務(wù)可用性的威脅—— DDoS 攻擊的焦點(diǎn),。防火墻和IPS設(shè)備無法組織廣泛的分布式攻擊或是用尖端的應(yīng)用層攻擊手段發(fā)起的攻擊。 Arbor通過研究,, 發(fā)現(xiàn)許多 DDoS 攻擊針對防火墻和IPS設(shè)備,。
防火墻和IPS可成為DDoS攻擊的目標(biāo),因?yàn)樗麄兪怯袪顟B(tài)的。有狀態(tài)的設(shè)備跟蹤連接中通過網(wǎng)絡(luò)的每個(gè)數(shù)據(jù)包以查找惡意活動(dòng),,并具有一套內(nèi)置機(jī)制以防御已知威脅,。由于許多DDoS 攻擊具有耗盡狀態(tài)的性質(zhì),因此防火墻和IPS設(shè)備可能在攻擊過程中失效,。例如,, Sockstress 攻擊,,此類攻擊可打開套接字來填充連接表,,從而淹沒防火墻和IPS設(shè)備。
Arbor防止您的業(yè)務(wù)遭受DDoS威脅
Arbor認(rèn)為應(yīng)對像DDoS這樣的復(fù)雜威脅需要分層安全解決方案,。首先 ,,企業(yè)必須保護(hù)他們自身免受大流量和狀態(tài) 耗盡 DDoS 攻擊 , 此類攻擊可通過使用由一些互聯(lián)網(wǎng)服務(wù)提供商或托管安全服務(wù)運(yùn)營商提供的基于云的保護(hù)服務(wù),,令企業(yè)的互聯(lián)網(wǎng)連接達(dá)到飽和,;其次,企業(yè)必須使用基于邊界的解決方案來防御應(yīng)用層 DDoS 攻擊,。此外,,基于邊界的解決方案可通過讓企業(yè)控制他們對 DDoS 威脅的響應(yīng)來為企業(yè)提供保護(hù)。
基于云的DDoS保護(hù)
企業(yè)必須與上游IPS和MSSP合作以便防御大型洪水攻擊,。由于大部分DDoS 攻擊仍然是大流量或洪水攻擊,,企業(yè)應(yīng)該要求他們的提供商提供干凈的管道。
APS——ArborNetworks的 Pravail 可用性保護(hù)系統(tǒng)
DDoS攻擊在規(guī)模和復(fù)雜性方面持續(xù)增長,。而且,,攻擊背后隱藏的動(dòng)機(jī)已不斷拓展,業(yè)已涵蓋意識形態(tài)黑客行動(dòng)主義和互聯(lián)網(wǎng)惡意破壞行為,。這使得從社交網(wǎng)絡(luò)到政府部門中的每個(gè)人都面臨攻擊風(fēng)險(xiǎn),。DDoS攻擊的數(shù)量持續(xù)增長, DDoS 仍然是一個(gè)不斷發(fā)展的威脅,。
傳統(tǒng)的安全設(shè)備不足于保護(hù)網(wǎng)絡(luò)及其提供的服務(wù),。盡力擴(kuò)展這些產(chǎn)品的功能以防御DDoS攻擊這一做法已被證明是無效的。頗值一提的是,,盡管這些產(chǎn)品對組織的防御系統(tǒng)至關(guān)重要,,但用于防御本地或云中的DDoS 攻擊的產(chǎn)品與之迥然不同。企業(yè)必須具備恰當(dāng)?shù)幕谶吔绲漠a(chǎn)品,,同時(shí)也必須具備合適的 云解決 方案,。兩全其美的辦法是以無縫、自動(dòng)的方式結(jié)合邊界和 云解決 方案,。
APS——ArborNetworks的Pravail 可用性保護(hù)系統(tǒng) ,,執(zhí)著于保障網(wǎng)絡(luò)邊界安全,使其免遭針對可用性的威脅,尤其可以提供針對應(yīng)用層 DDoS 攻擊的保護(hù),。該系統(tǒng)是為企業(yè)專門設(shè)計(jì)的,,它提供開包即可使用、經(jīng)過實(shí)踐檢驗(yàn)的 DDoS 攻擊識別和緩解功能,,此類功能可使用極少的配置快速部署,,甚至可以在攻擊發(fā)生的過程中部署。