破解迷思！關(guān)于DDoS防御，你需要知道的9件事！

近期，分布式拒絕服務(wù)(DDoS)攻擊流量再創(chuàng)新高。相關(guān)報(bào)道顯示，某歐洲組織遭遇2.4 Tbps DDoS攻擊，遠(yuǎn)高于2020年6月Akamai平臺(tái)探測(cè)到的1.44 Tbps、每秒8.09億個(gè)數(shù)據(jù)包(Mpps)整體規(guī)模。

NETSCOUT《威脅情報(bào)報(bào)告》顯示，2021年上半年，網(wǎng)絡(luò)犯罪分子發(fā)動(dòng)了約540萬次分布式拒絕服務(wù)(DDoS)攻擊，較2020年上半年增長(zhǎng)11%，預(yù)計(jì)全年DDoS攻擊將超過1100萬次。

面對(duì)規(guī)?？涨?、攻擊手段多樣化的DDoS威脅，在未來的“網(wǎng)絡(luò)攻防戰(zhàn)”來臨之前，采取行動(dòng)的同時(shí)也要擁有正確的防御認(rèn)知。然而，或因新聞?wù)`讀、或因廣告過度宣傳，許多DDoS防御的“流行說法”，往往在片面表述、誤導(dǎo)用戶。

伴隨著攻擊規(guī)模的逐年上升，安全專業(yè)人員在設(shè)計(jì)DDoS防御解決方案時(shí)，會(huì)著重考慮防御服務(wù)總?cè)萘俊Ｊ聦?shí)上，DDoS防御的實(shí)際能力，并不完全體現(xiàn)在總?cè)萘恐?。這就需要我們弄清楚幾個(gè)問題：

·有多少網(wǎng)絡(luò)容量專門耗用在攻擊流量方面？

·有多少緩解系統(tǒng)資源專用于阻止攻擊？

·有多少網(wǎng)絡(luò)和系統(tǒng)資源可用于向該平臺(tái)上的所有客戶群傳送安全流量？

換句話說，DDoS攻擊流量和正?？蛻袅髁浚枰獏^(qū)別對(duì)待?？?cè)萘?，可不代表可用緩解資源，體現(xiàn)DDoS真實(shí)防御能力，在于能有效發(fā)揮安全作用或優(yōu)化緩解措施的對(duì)應(yīng)容量。

Akamai提醒您，要深入了解安全供應(yīng)商描述的網(wǎng)絡(luò)總?cè)萘颗c可用于緩解攻擊的容量，并關(guān)注平臺(tái)穩(wěn)定性、安全流量交付利用率這一類關(guān)鍵指標(biāo)，從而有效部署DDoS防御措施。

一旦DDoS攻擊發(fā)生，在防御整體周期中，用戶當(dāng)然期待耗時(shí)越短越好。由此，宣傳廣告在對(duì)“緩解時(shí)間”上的解讀，往往模糊處理、并非從監(jiān)測(cè)到DDoS攻擊到實(shí)際停止的整體時(shí)長(zhǎng)。從本質(zhì)上看，緩解時(shí)間，意味著在不會(huì)影響正常流量和網(wǎng)絡(luò)性能的情況下，DDoS防御阻截惡意流量的響應(yīng)速度。

而單從時(shí)間上看，緩解時(shí)間的解讀空間并不準(zhǔn)確。例如，某些供應(yīng)商可能會(huì)等到流量持續(xù)激增5分鐘以上，才將其判定為DDoS攻擊。由此，SLA計(jì)時(shí)器啟動(dòng)時(shí)，DDoS攻擊已經(jīng)過去了5分鐘。相比之下，廣告中所說的10秒緩解時(shí)間，“刻意”忽略了此前這5分鐘。此外，還有一些供應(yīng)商，則將緩解時(shí)間局限為部署緩解措施，同樣會(huì)遠(yuǎn)低于整體用時(shí)。

Akamai提醒您，整體緩解時(shí)間應(yīng)當(dāng)定義為網(wǎng)絡(luò)恢復(fù)總體時(shí)長(zhǎng)，這才是關(guān)乎終端用戶體驗(yàn)的真實(shí)時(shí)長(zhǎng)。為便于您研究SLA中所列緩解措施的時(shí)間細(xì)節(jié)，可參照下方公式：

吸入黑洞、限制流量，是部分網(wǎng)絡(luò)安全供應(yīng)商常用的防御措施，但在響應(yīng)過程中，將會(huì)以犧牲網(wǎng)絡(luò)性能的代價(jià)來阻截DDoS攻擊。

先說吸入黑洞，其具體機(jī)制只是將該資源流量丟到虛擬黑洞中，進(jìn)而實(shí)現(xiàn)止損；但是，吸入黑洞，將會(huì)致使目標(biāo)資產(chǎn)離線，正中攻擊者下懷。

由于安全供應(yīng)商基礎(chǔ)架構(gòu)各有不同，響應(yīng)離線、性能受損的后果也可能會(huì)波及其它用戶。而采取限制流量，同樣會(huì)帶來負(fù)面效果。終端用戶的正常數(shù)據(jù)資產(chǎn)或服務(wù)即便仍在運(yùn)行，卻明顯減少20%-40%的合法流量。這對(duì)受攻擊一方來說，很難保證用戶體驗(yàn)，并非優(yōu)選、有效的解決方案。

Akamai提醒您，面對(duì)以上兩種DDoS防御措施。您需要向供應(yīng)商詢問在常規(guī)情況或在受到攻擊時(shí)，吸入黑洞或限制流量的發(fā)生頻次以及應(yīng)用場(chǎng)景；同時(shí)，您需要詢問網(wǎng)路服務(wù)恢復(fù)正常的必要條件。

在進(jìn)行企業(yè)網(wǎng)絡(luò)安全部署時(shí)，有一點(diǎn)很容易被忽略——灰色產(chǎn)業(yè)與非法企業(yè)，可能在與您共享同一個(gè)合法的云供應(yīng)商。賭博和色情網(wǎng)站等灰色產(chǎn)業(yè)、諸如恐怖襲擊的這一類非法組織，受到DDoS攻擊的頻次遠(yuǎn)大于合法產(chǎn)業(yè)。

與這兩種“網(wǎng)上鄰居”共享同一云安全平臺(tái)的DDoS防御服務(wù)，很可能發(fā)生“連帶”效應(yīng)、遭遇間接損失。因?yàn)楣?yīng)商的資源可能已被幾近耗盡，難堪其重，致使您的企業(yè)面臨風(fēng)險(xiǎn)。

Akamai提醒您，在選擇云安全供應(yīng)商時(shí)，需要仔細(xì)研讀他們的服務(wù)客戶范圍，選擇抵御DDoS時(shí)的可靠“盟友”，規(guī)避共享云安全平臺(tái)資源時(shí)的潛在風(fēng)險(xiǎn)。

當(dāng)前，部署DDoS防御等安全措施時(shí)，部分供應(yīng)商通過單一云平臺(tái)來提供多種服務(wù)。這種一站式安全平臺(tái)，短期而言，確實(shí)存在一定優(yōu)勢(shì)，即簡(jiǎn)化部署和集成安全管控措施的技術(shù)難度。

但長(zhǎng)遠(yuǎn)來看，一站式安全平臺(tái)也存在著顯著劣勢(shì)。由于平臺(tái)共享同一后端基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)的多種服務(wù)，一旦環(huán)境中的其他部分遭遇中斷，接踵而至的間接損害、恢復(fù)能力降低等問題，也會(huì)嚴(yán)重破壞安全體驗(yàn)。要知道，單一平臺(tái)的設(shè)計(jì)上本就存在局限，一站式安全平臺(tái)在初始構(gòu)建階段，在部分功能的開發(fā)上，會(huì)有折中處理而非優(yōu)選設(shè)計(jì)。

相比之下，CDN、DNS和DDoS凈化云方案的專項(xiàng)構(gòu)建則采用透明網(wǎng)絡(luò)，在應(yīng)對(duì)安全挑戰(zhàn)時(shí)，能提供更穩(wěn)定、高效的緩解措施，并大規(guī)模改善整體網(wǎng)絡(luò)性能、優(yōu)化防御態(tài)勢(shì)。

Akamai提醒您，一站式安全平臺(tái)并不意味著更好的安全體驗(yàn)。進(jìn)行網(wǎng)絡(luò)安全部署時(shí)，不需要通過共享同一基礎(chǔ)架構(gòu)來實(shí)現(xiàn)一致的安全體驗(yàn)。事實(shí)上，不同的底層架構(gòu)，在提供無縫、流暢用戶體驗(yàn)的同時(shí)，也能帶來高水準(zhǔn)的緩解措施。

隨著攻擊媒介的復(fù)雜多樣、攻擊力度的連年攀升，面對(duì)當(dāng)下的DDoS攻擊，本地解決方案提供的管控措施相對(duì)有限。即便是4 Gbps以下的典型攻擊也會(huì)致使互聯(lián)網(wǎng)鏈路飽和，本地?cái)?shù)據(jù)中心配備上乘內(nèi)部硬件，依然有可能發(fā)生拒絕服務(wù)的情況。

歸根結(jié)底，限制本地解決方案管控能力，恰恰是互聯(lián)網(wǎng)鏈路規(guī)模。再加上稀缺的安全人才，往往要投入巨大的時(shí)間精力成本進(jìn)行IT維護(hù)，往往不堪重負(fù)、影響效率。由此，企業(yè)組織都選擇將DDoS緩解措施外包給基于云平臺(tái)的安全供應(yīng)商，而不是開發(fā)內(nèi)部DDoS防御技術(shù)。

Akamai提醒您，DDoS是一種應(yīng)由防御專家來處理的攻擊類型。面臨超高流量的沖擊，本地解決方案存在固有風(fēng)險(xiǎn)。與其讓互聯(lián)網(wǎng)鏈路、安全運(yùn)維人員疲于應(yīng)對(duì)、造成局面失控，不如把專業(yè)的事交給專業(yè)的人，外包給專家處理，專注于業(yè)務(wù)本身。

在DDoS攻擊中涉及的OSI模型中，共有物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層7個(gè)網(wǎng)絡(luò)連接層。針對(duì)這一結(jié)構(gòu)，攻擊者會(huì)根據(jù)他們想要破壞的網(wǎng)絡(luò)或面向互聯(lián)網(wǎng)的資產(chǎn)類型，針對(duì)不同的分層發(fā)起攻擊。由此來看，使用同一種底層技術(shù)構(gòu)建多層防御措施，將會(huì)讓所有防御層存在相同的漏洞和弱點(diǎn)，致使企業(yè)面臨同一類風(fēng)險(xiǎn)。

應(yīng)對(duì)多方位的DDoS攻擊，克服多樣化的破壞手段，需要采用多層防御措施，來減輕不同層次的攻擊。這重防御意識(shí)，正是企業(yè)組織自建防御策略的基礎(chǔ)。諸如，采用混合防御法。對(duì)于本地部署安全解決方案的企業(yè)來說，如果不采取多層防御，而是添加來自同一供應(yīng)商的云解決方案，未必能獲取深度防御。

Akamai提醒您，基于DDoS攻擊原理，需要對(duì)同類優(yōu)選技術(shù)進(jìn)行分層，采取多層防御措施。由此，即便某一層存在的缺陷，也能被另一層防御所彌補(bǔ)，實(shí)現(xiàn)更為立體、深度的安全防御。

應(yīng)對(duì)DDoS攻擊，眾多安全供應(yīng)商幾乎都在強(qiáng)調(diào)自身的安全運(yùn)營(yíng)中心(SOC)服務(wù)。這是因?yàn)镾OC可以作為企業(yè)安全團(tuán)隊(duì)的有效擴(kuò)充，及時(shí)、準(zhǔn)確地提供防御技術(shù)、安全策略的支持。相比“全天候”這一點(diǎn)，在評(píng)估DDoS防御供應(yīng)商SOC的效能時(shí)，以下因素則更值得考量

·遭遇攻擊的前、中、后，您能得到哪類支持和分析服務(wù)？

·SOC如何配備人員，確保DDoS防御的連續(xù)性？

·聯(lián)系SOC時(shí)，與您溝通的是能進(jìn)行緩解操作的安全專家，還是僅轉(zhuǎn)交問題的對(duì)接人？

·提供商是否有接受防御培訓(xùn)的安全專業(yè)人員，還是只有緩解流量壓力的操作人員？

·對(duì)方是否提供定制化行動(dòng)手冊(cè)？

Akamai提醒您，當(dāng)您對(duì)安全供應(yīng)商SOC服務(wù)品質(zhì)進(jìn)行評(píng)估時(shí)，在明確其攻擊檢測(cè)和緩解措施之外，需要確認(rèn)對(duì)方是否還提供集成測(cè)試、事件故障排除、事后分析報(bào)告和設(shè)計(jì)支持?？傮w來說，服務(wù)環(huán)節(jié)越完備、服務(wù)水準(zhǔn)越專業(yè)，便能高效地縮小DDoS攻擊面。

市面上的DDoS防御服務(wù)，往往存在著“低價(jià)陷阱”。具體來說，部分供應(yīng)商的安全防御措施，對(duì)應(yīng)有的攻擊防御數(shù)量或規(guī)模都會(huì)有所限制，然后利用低報(bào)價(jià)搶占市場(chǎng)；而且這種“短視”行為，還將會(huì)埋下隱性成本。

在服務(wù)中后期，一旦您遭遇超出限制數(shù)量、規(guī)模的DDoS攻擊，供應(yīng)商便會(huì)要求您升級(jí)到更高且更貴的服務(wù)層，不然就不能進(jìn)行安全防護(hù)。此時(shí)，低價(jià)誘惑便露出了真實(shí)目的，作為遭受DDoS攻擊方，此時(shí)往往一心只想恢復(fù)業(yè)務(wù)，任由對(duì)方安排。

Akamai提醒您，在對(duì)比供應(yīng)商和報(bào)價(jià)時(shí)，面對(duì)明顯低于市場(chǎng)價(jià)位的報(bào)價(jià)，您需要提起警惕，務(wù)必考慮是否存在隱性成本以及報(bào)價(jià)中真正能獲取到的具體服務(wù)，進(jìn)而尋求性價(jià)比更高的DDoS防御服務(wù)。

通過以上9個(gè)問題的梳理，您會(huì)發(fā)現(xiàn)DDoS安全問題既復(fù)雜多變，又費(fèi)時(shí)費(fèi)力。如果不能及時(shí)有效地進(jìn)行DDoS防御，不僅會(huì)損失終端用戶的信任，而且還有可能承擔(dān)更為沉重的費(fèi)用成本。