速度对于防御DDoS攻击起着至关重要的作用。大量“突发性洪水”攻击会在一瞬间突然出现,并在几秒钟内增加至数百千兆字节。起初应用可能看起来工作正常,但之后会突然无法使用,而且找不到明显的原因。当用户已经意识到受到攻击时,可能已经对业务产生了严重的损害。
DDoS(攻击是一种通过很多“僵尸主机”(即被入侵或可间接利用的主机)向受害主机发送大量网络数据包,造成网络阻塞或服务器资源耗尽,进而导致受害主机拒绝服务的攻击,且无法通过给服务器打补丁或安装防火墙的方式对其进行防护,因此难以防范、危害较大。
攻击正变得越来越多层次,它利用各种攻击方法和牵制策略攻破防御措施。如果能在电信运营商网络侧加强防御DDoS能力,实现对DDoS攻击流量在电信运营商网络侧的及时处理,保护业务和保持服务可用性的能力直接取决于对这些多层次威胁的响应速度,则可有效减少DDoS攻击流量对互联网应用和电信运营商网络的危害。
那么,如何才能利用短短数秒的珍贵响应时间并使之对己有利?重点是把握决定响应速度的三个关键因素:
1.检测DDoS攻击的速度是快速缓解风险的首要功能,也是最基础的功能。在这一方面,解决方案的选择对于风险预测具有重要意义。IPS设备、防火墙等安全产品是分层防御策略的基本组成部分,但它们针对解决的问题与专业的攻击检测和风险缓解产品有着根本的不同。虽然这些安全产品可以有效解决“网络完整性和保密性”问题,但无法解决与DDoS攻击相关的根本问题——“网络可用性”。
2.自动化是守护安全的神圣卫士,它有助于解决人员供给难题,对确保响应速度发挥关键作用。部署混合攻击防御DDoS措施会组合使用本地威胁缓解方案和云端威胁缓解方案,当攻击规模达到特定阈值时,IDMS发出的信号可以立即自动激活云端防御措施。借助正确的IDMS通常可以在安全操作人员意识到攻击之前自动检测攻击并启动风险缓解措施。由于攻击规模变得越来越大,而攻击方法涉及越来越多的应用层,这一点尤为重要。
3.当面临攻击压力时,准备工作是建立“组织响应能力”、加快事故响应速度的关键。成功防御DDoS攻击首先需要具备正确的技术解决方案,但这还远远不够。有时,即使DDoS防御设备在多个方面实现了自动化,人在响应和整体防御中依然扮演重要角色,安全团队需要时刻准备识别威胁并毫不迟疑地做出响应。
面对日趋复杂的DDoS攻击,为了防御DDoS有事半功倍的效果,更需要加强运营商、标准组织、安全厂商和用户等各方面的通力合作,打造高效稳定的网络安全环境。单一组织或单一防护形态是难以构建协同的治理生态环境的。