在過去的十年中,分布式拒絕服務(wù)攻擊(DDoS)不斷激增,成為幾乎每一個(gè)暴露在互聯(lián)網(wǎng)上的企業(yè)面臨的主要威脅之一。而近來DDoS又發(fā)生了新的變化,大流量攻擊已經(jīng)變得越來越普遍,這一變化也意味著企業(yè)越來越疲于應(yīng)對(duì)如此程度的攻擊。
“如今DDoS已能達(dá)到125GB的攻擊流量,到2016年攻擊速度將達(dá)到1TB/s。”Akamai信息技術(shù)安全部總監(jiān)John Ellis在接受ZDNet專訪時(shí)表示。
而極少有公司或組織擁有可以抵御這種程度攻擊的設(shè)備,傳統(tǒng)的通過增加網(wǎng)絡(luò)帶寬資源也只是在應(yīng)對(duì)小規(guī)模流量攻擊時(shí)防御效果明顯,面對(duì)大規(guī)模攻擊時(shí)則力不從心。
糟糕的是,隨著僵尸網(wǎng)絡(luò)的擴(kuò)散,DDoS攻擊規(guī)模不斷提升。John多次提到,大流量攻擊在現(xiàn)在已經(jīng)變得司空見慣,Akamai曾為受到DDoS攻擊的客戶緩解了超過200Gbps的流量。根據(jù)Akamai發(fā)布的《2012互聯(lián)網(wǎng)發(fā)展?fàn)顩r報(bào)告》顯示,作為一個(gè)長(zhǎng)期延續(xù)的趨勢(shì),許多Akamai客戶在2012年上半年都遭遇了拒絕服務(wù)攻擊。僅在今年上半年,Akamai的支持團(tuán)隊(duì)就記錄了89次客戶針對(duì)DoS攻擊提出的協(xié)助防御請(qǐng)求。攻擊者不再局限于網(wǎng)絡(luò)層攻擊,更多的是針對(duì)應(yīng)用層DoS攻擊(大流量或“慢DDoS”)或網(wǎng)站應(yīng)用攻擊(SQL注入、跨站腳本攻擊等),這種攻擊一旦成功,不僅會(huì)嚴(yán)重影響目標(biāo)網(wǎng)站的可用性,而且由于其本身的特性,還會(huì)帶來數(shù)據(jù)泄漏的重大風(fēng)險(xiǎn)。
John進(jìn)一步補(bǔ)充道,傳統(tǒng)的防御方法缺點(diǎn)是增加延時(shí),先通過監(jiān)控BGP通道再通過GRE,這需要30分鐘的時(shí)間判定問題,而且還會(huì)制造一些假象,難以發(fā)現(xiàn)根源。
IT管理者需要找到一種行之有效的方式,來應(yīng)對(duì)網(wǎng)絡(luò)上這破壞性的攻擊。John告訴記者,Akamai將安全防護(hù)擴(kuò)展到數(shù)據(jù)中心之外,通過建立包含超過十萬個(gè)服務(wù)器,分布于83個(gè)國家,2000多個(gè)網(wǎng)絡(luò)中的智能平臺(tái)防堵DDoS攻擊。這一基于云的中心可吸收鎖定應(yīng)用層的DDoS流量,將針對(duì)網(wǎng)絡(luò)層的所有DDoS流量轉(zhuǎn)向。作為基于云的托管服務(wù),Akamai降低了集中式安全資源和人員的相關(guān)負(fù)擔(dān),使核心基礎(chǔ)設(shè)施更加靈活有效。
值得一提的是,Akamai智能平臺(tái)能夠?qū)戏髁亢凸袅髁窟M(jìn)行區(qū)別對(duì)待,從而高效地進(jìn)行處理。John說到,數(shù)據(jù)中心一旦迎來高峰,傳統(tǒng)的提高帶寬或集中式的安全解決方案不能分辨是因?yàn)榫W(wǎng)站歡迎度提升或一些熱點(diǎn)事件導(dǎo)致瀏覽量增加,還是一些非法攻擊流量造成的。在Akamai的解決方案下,在源頭檢測(cè)并提前處理惡意請(qǐng)求有利于保護(hù)源服務(wù)器,并可有效阻擋互聯(lián)網(wǎng)攻擊流量,這種獨(dú)有的分布式方法能夠提供最佳的解決方案。
John解釋了這一原理,“假如CCTV是我們的客戶,通過Akamai眾多的服務(wù)器建立一個(gè)Cache。瀏覽者想要得到這個(gè)數(shù)據(jù),這個(gè)數(shù)據(jù)直接是從服務(wù)器傳輸?shù)綖g覽者,不是CCTV傳輸過去的。如果這個(gè)信息在Cache沒有的話,CCTV把信息傳輸給Cache,每個(gè)服務(wù)器都可以分享這個(gè)信息。這個(gè)Cache可以區(qū)別瀏覽者或攻擊者,流量一旦超過頻率控制設(shè)定的門檻,就會(huì)進(jìn)入等候區(qū),然后進(jìn)行分析。客戶可以根據(jù)分析結(jié)果選擇不需要這個(gè)流量或讓服務(wù)器吸收這個(gè)流量,也可以讓它重新選擇路徑。”
分布式的云平臺(tái)可對(duì)互聯(lián)網(wǎng)的正常運(yùn)行進(jìn)行持續(xù)的實(shí)時(shí)監(jiān)控和分析。 這包括各地區(qū)流量水平、各主干網(wǎng)狀況、DNS服務(wù)器狀況以及BGP擾動(dòng)等數(shù)據(jù)。利用由異常流量模式觸發(fā)的客戶專用報(bào)警機(jī)制,Akamai對(duì)全球網(wǎng)絡(luò)的實(shí)時(shí)獨(dú)特監(jiān)控可提前識(shí)別流量攻擊及其資源。
John最后指出,除了大規(guī)模的流量攻擊外,針對(duì)應(yīng)用層漏洞的攻擊也愈發(fā)明顯。在經(jīng)過測(cè)試的網(wǎng)絡(luò)應(yīng)用程序中,近一半包含重要漏洞或緊急漏洞。比如SQL注入,跨站腳本攻擊(XSS),應(yīng)用層DDoS攻擊比網(wǎng)絡(luò)層DDoS攻擊更難檢測(cè)。
John認(rèn)為,傳統(tǒng)的網(wǎng)絡(luò)防火墻和入侵防護(hù)系統(tǒng)無法有效地防御這些危險(xiǎn)的網(wǎng)絡(luò)攻擊。每一種方式均有其操作弊端,公司購買和管理這些部署在內(nèi)線的設(shè)備,容易造成嚴(yán)重的單點(diǎn)故障。綜合安全構(gòu)架傾向于集二者之長(zhǎng)于一身,基于云的分布式安全服務(wù)進(jìn)行按需防護(hù),能夠簡(jiǎn)化源服務(wù)器基礎(chǔ)架構(gòu),同時(shí)減少IT規(guī)劃和維護(hù)的煩惱。這種經(jīng)濟(jì)有效的可擴(kuò)展方式給企業(yè)安全防護(hù)提供最優(yōu)的選擇。
