DDOS攻擊給運(yùn)營商帶來的損害
運(yùn)營商網(wǎng)絡(luò)上經(jīng)常會發(fā)生多種類型的攻擊,而且攻擊流量巨大��,因此會帶來的嚴(yán)重的損害:
·服務(wù)器資源耗盡:海量的SynFlood等DDOS攻擊會造成運(yùn)營商自身的以及重要客戶的關(guān)鍵服務(wù)器資源耗盡����,造成關(guān)鍵業(yè)務(wù)應(yīng)用的中斷,如DNS��、WEB等。從而引起大面積的Internet訪問故障和應(yīng)用停止�。給運(yùn)營商的業(yè)務(wù)和信譽(yù)帶來巨大損害,以及運(yùn)營商及其用戶的經(jīng)濟(jì)上的無法估量的損失����。
·帶寬資源耗盡:運(yùn)營商骨干帶寬資源較為充裕,但是下級客戶接入的帶寬資源有限���。大規(guī)模的DDOS攻擊可以輕易將客戶接入的帶寬完全占用���,而導(dǎo)致大面積的應(yīng)用無法訪問,或者客戶無法訪問Internet����。
我們?nèi)绾谓鉀Q安全威脅
為了防御運(yùn)營商難以避免的而且日益嚴(yán)重的網(wǎng)絡(luò)威脅,一些安全廠商也相應(yīng)發(fā)布了自己的DoS/DDoS防御安全解決方案����。通過在運(yùn)營商IP城域網(wǎng)或IDC部署這套安全防御解決方案,能夠讓電信運(yùn)營商以很少的開支�����,幫助企業(yè)客戶保障網(wǎng)絡(luò)安全。
目前能夠提供DoS/DDoS防御安全解決方案的廠商也很多��,每個廠商所提供的DoS/DDoS防御機(jī)制不同��,多數(shù)廠商都只是防御已知的DOS攻擊�,缺乏對現(xiàn)在流行的“零日攻擊“和應(yīng)用層攻擊的防御手段;目前業(yè)界做得比較好的廠商首推Radware公司的DoS/DDoS防御解決方案�,Radware公司是業(yè)界第一個提供單臺6Gbits/s吞吐量的廠商。在DoS/DDoS攻擊防御領(lǐng)域具有很多領(lǐng)先的技術(shù)���,尤其是在防御未知DOS/DDOS攻擊(即“零日攻擊“)方面具有專利性的技術(shù)——基于行為的DoS/DDoS防御技術(shù),可以自動學(xué)習(xí)�、自動制定策略和報告。
我公司的IDC中也托管了很多企業(yè)的WEB站點(diǎn)����,自從業(yè)務(wù)開展以來,經(jīng)常遭受到DOS/DDOS��、HTTP Flood等各種惡意流量的攻擊,導(dǎo)致客戶無法正常運(yùn)營��,對我司的日常運(yùn)營和用戶滿意度也造成了嚴(yán)重的影響�。
現(xiàn)在我公司已經(jīng)引入了Radware公司提供的DOS/DDOS防御安全解決方案。在唐山分公司的IDC內(nèi)部署了一臺Radware的DefensePro6000 DOS/DDOS防御設(shè)備后����,防護(hù)效果非常好��,繼續(xù)發(fā)生的UDP Flood��、TCP Flood及HTTP Page Flood等攻擊全部被Radware的DefensePro設(shè)備攔截�。
DOS/DDOS安全解決方案也稱之為DoS/DDoS流量清洗解決方案���,即在運(yùn)營商的城域網(wǎng)或IDC內(nèi)構(gòu)建一個全面的DoS/DDoS流量清洗中心����,可以對外面惡意流量進(jìn)入客戶系統(tǒng)之前進(jìn)行有效的攔截�����。防止運(yùn)營商的增值服務(wù)受到DDoS攻擊的影響���,最大限度的確保其可用性���。
DoS/DDoS防御安全解決方案實(shí)現(xiàn)了下列目標(biāo):
·幫助運(yùn)營商客戶有效地防御DDoS攻擊,從而最大限度地提高在線服務(wù)和業(yè)務(wù)的連續(xù)性���。解決方案可以幫助用戶清除攻擊流量和只允許合法流量使用從運(yùn)營商網(wǎng)絡(luò)到客戶網(wǎng)絡(luò)的�����、帶寬有限的連接����。運(yùn)營商將以安全服務(wù)托管的形式向企業(yè)客戶提供這種保護(hù)。同時針對運(yùn)營商的IDC�����,還可以利用相同的防御系統(tǒng)防止他們的托管客戶的Web和其他電子商務(wù)應(yīng)用遭受DDoS攻擊�。
·確保運(yùn)營商網(wǎng)絡(luò)中的網(wǎng)絡(luò)資源(例如路由器、DNS��、SMTP��、電子郵件和WWW)具有足夠的安全性��,不會受到DDoS攻擊的影響�����。
·為運(yùn)營商的增值服務(wù)部門提供了一個新的安全服務(wù)理念�,可以根據(jù)客戶對安全級別要求的不同實(shí)施相應(yīng)的安全防護(hù)策略�����,以提供增值服務(wù)的價值空間。
DOS/DDOS防御部署設(shè)計
將兩臺DoS/DDoS防御設(shè)備旁路部署在兩臺城域網(wǎng)核心路由器上�,每臺DOS防御設(shè)備可以采用10G鏈路連接核心路由器,兩臺DoS/DDoS防御設(shè)備構(gòu)成了“城域網(wǎng)安全防護(hù)/DDoS清洗中心”�����,通過在核心路由器上做策略路由��,將被保護(hù)網(wǎng)段的數(shù)據(jù)流導(dǎo)向到清洗中心(如下圖)�,達(dá)到過濾掉DDOS攻擊流量,放行正常訪問流量的目的�����。這種部署方案可以全面解決城域網(wǎng)的不同安全問題���,總體上看���,解決的思路是:“對攻擊流量清洗,對正常流量放行”��,通過全面的技術(shù)手段對城域網(wǎng)及IDC中的不安全因素進(jìn)行過濾�����,以來保證城域網(wǎng)的安全。
運(yùn)營商DDoS 安全防御模式
DoS/DDoS安全防御解決方案的目標(biāo)是幫助電信運(yùn)營商在城域網(wǎng)及IDC的安全層面上徹底消除隱患�,并能夠為運(yùn)營商帶來一種新的安全服務(wù)創(chuàng)收模式。電信運(yùn)營商可以將這種部署模式作為一種服務(wù)����,提供給他們的企業(yè)客戶。接下來我們將討論該解決方案可以通過哪些服務(wù)模式開展DOS/DDOS防御���。
1�����、網(wǎng)絡(luò)服務(wù)托管模式:在這種服務(wù)模式下���,解決方案讓電信運(yùn)營商可以防止企業(yè)客戶的網(wǎng)絡(luò)遭到來自互聯(lián)網(wǎng)的DDoS攻擊。這些攻擊不僅會影響企業(yè)內(nèi)部的應(yīng)用系統(tǒng)��,而且更為嚴(yán)重的是還會導(dǎo)致電信運(yùn)營商和客戶網(wǎng)絡(luò)之間的連接帶寬被DDoS攻擊流量所占滿����。尤其對于金融和電子商務(wù)客戶而言�����,這種攻擊可能會導(dǎo)致客戶的流失、聲譽(yù)的下降和財產(chǎn)損失�����。
如果能夠及早檢測到DDoS攻擊��,并盡可能地在網(wǎng)絡(luò)上游阻止它們��,就可以有效地消除DDoS攻擊的影響����。總體來看���,電信運(yùn)營商可以利用解決方案��,在兩個服務(wù)層次為企業(yè)客戶提供DDoS防御功能�。(如下圖所示)
·獨(dú)享服務(wù)--我們把這類客戶定義為金牌客戶���。這種高級服務(wù)適用于那些在線服務(wù)對業(yè)務(wù)的持續(xù)發(fā)展至關(guān)重要的客戶�,如電子商務(wù)網(wǎng)站�����、網(wǎng)上書店等。解決方案可以為這些客戶單獨(dú)開通一條清洗通道——即與該企業(yè)所產(chǎn)生的上游所有流量經(jīng)過一條獨(dú)享的通道進(jìn)行清洗��,這樣可以為這些客戶終端設(shè)備提供承諾的流量清潔容量�,策略自動學(xué)習(xí)和定制,以及可選的DDoS檢測和清潔啟用功能
·無服務(wù)(No SLA)——沒有購買安全服務(wù)的客戶無法享受異常流量清洗服務(wù)����,與這類客戶通信的上游數(shù)據(jù)流將按照運(yùn)營商正常的路由到達(dá)客戶端網(wǎng)絡(luò)。
圖:服務(wù)模式處理場景
這種架構(gòu)模式獨(dú)立服務(wù)于單個城域網(wǎng)內(nèi)的客戶群�,清洗中心也可以覆蓋電信運(yùn)營商的整個城域網(wǎng),根據(jù)城域網(wǎng)接入的節(jié)點(diǎn)數(shù)部署對等數(shù)量的DOS/DDoS防御設(shè)備�。
2、主機(jī)托管服務(wù)模式:這種服務(wù)模式適合于運(yùn)營商的IDC主機(jī)托管中心����。讓主機(jī)托管電信運(yùn)營商可以為使用他們的Web托管和應(yīng)用模式的客戶提供DDoS防御功能。該服務(wù)將以對SP現(xiàn)有的托管服務(wù)的增值改進(jìn)的形式提供�����,具體運(yùn)營模式類似于前面介紹的網(wǎng)絡(luò)服務(wù)托管的DDoS防御服務(wù)模式��。
將DoS/DDoS防御解決方案部署在運(yùn)營商IDC前端��,可以有效的防御來自上游的各種DoS/DDoS攻擊�����,利用先進(jìn)的HTTP Minigation技術(shù)防御基于業(yè)務(wù)層面的HTTP Page Flood�,以保證WEB服務(wù)的7×24小時可用性。另外還可以有效的防御類似蠕蟲入侵����、掃描和主機(jī)的暴力破解(Server Cracking)等安全威脅。
DoS/DDoS防御能為運(yùn)營商帶來哪些好處�����?
·為電信運(yùn)營商(SP)帶來的好處:DoS/DDoS防御安全解決方案能夠為運(yùn)營商的網(wǎng)絡(luò)安全托管服務(wù)添加一個新的收入來源���。這種新型服務(wù)讓運(yùn)營商可以為大型企業(yè)客戶提供業(yè)務(wù)連續(xù)性服務(wù)���,在保護(hù)網(wǎng)絡(luò)安全方面成為他們值得信賴的合作伙伴。這項服務(wù)將讓運(yùn)營商成為企業(yè)網(wǎng)絡(luò)的一個不可或缺的組成部分�,可以在一段時間內(nèi)為企業(yè)安全保障提供多種安全服務(wù),從而創(chuàng)造更多創(chuàng)收的機(jī)會����。
·為運(yùn)營商客戶帶來的好處:通過在運(yùn)營商業(yè)務(wù)網(wǎng)絡(luò)中部署DoS/DDoS防御安全解決方案��,可以提供業(yè)務(wù)連續(xù)性和增強(qiáng)客戶信心��。任何攻擊都會得到實(shí)時��、主動的防御���,而且惡意流量會在網(wǎng)絡(luò)資源受到影響之前被立即清除,可以幫助運(yùn)營商客戶最大限度地減少保護(hù)資產(chǎn)所需的開支����。
(作者現(xiàn)任職于中國網(wǎng)通(集團(tuán))有限公司唐山分公司設(shè)備中心)
