您的位置: 网界网 > 安全 > 正文

针对缓解DDoS攻击和DNS可用性整体策略

2014年09月28日 10:39:46 | 作者:厂商投稿 | 来源:it168网站 | 查看本文手机版

摘要:如今,公司和组织机构需要对网络上许多不同类型的DDoS攻击有所准备。近日,瞻博网络正式发布数项全新的增强功能,这些增强功能将路由器作为执行点,使DDoS Secure解决方案能够帮助网络更好地防御攻击。

标签
DNS
DDOS
攻击防范

如今,公司和组织机构需要对网络上许多不同类型的DDoS[注]攻击有所准备。近日,瞻博网络正式发布数项全新的增强功能,这些增强功能将路由器作为执行点,使DDoS Secure解决方案能够帮助网络更好地防御攻击。

DDoS 攻击呈上升趋势

在容量攻击潜在地淹没管道容量和攻陷边缘设备并窃取背后受保护的资源情况下,在更靠近攻击源的路由器化解容量攻击便显得非常重要。如果在边缘准确地检测到攻击,然后传达给上游路由基础设施,公司便可以在靠近攻击源的位置有效地阻止恶意流量,而且不会中断正常的服务,从而达到理想的防御效果。这种策略不但对缓减分布式拒绝服务[注] (DDoS) 攻击非常有效,而且对于确保DNS可用性也成效显著。

但是,容量攻击仅仅是问题的一部分。 基于DNS的针对性攻击对于企业和服务提供商同样是一大问题。现在,攻击者可以通过多种方法,借助 DNS 摧毁网络。考虑到服务提供商的核心DNS基础设施,DNS 放大/反射攻击(DNS基础设施参与攻击)或消耗攻击(DNS基础设施自身遭受攻击)可能会导致网络运营停止,并对收入带来严重的影响。例如,正如我们今年早些时候看到的Spamhaus和NTP攻击一样,当攻击放大到100倍量级的GB时,唯一的补救措施是在上游阻止攻击流量。

网络自身防御 DDoS

缓解DNS攻击需要采取整体策略。在网络边缘本地检测攻击的同时,还必须在路由器的上游更有效地缓解攻击。离网络边界越远,效果越好。这种组合拳可以最有效地防御DNS放大和反射攻击。

但这是如何做到的呢?边界网关协议(Border Gateway Protocol, BGP)Flowspec是一种标准路由协议,该协议提供的机制可以在路由基础设施正确地与本地DDoS解决方案相集成的情况下缓解DDoS攻击。BGP Flowspec的粒度功能不但可以向下游的企业或数据中心提供干净的管道,而且还可以尽可能靠近攻击源阻止恶意流量。Flowspec的粒度使运营商能够在上游的恶意流量攻击链接之前,只清除这些恶意流量(+本站微信networkworldweixin),不需要将所有流量转移到数据清理中心。

瞻博网络之路

瞻博网络的MX路由器具备BGP功能,为DDoS Secure提供了理想的补充。通过 BGP Flowspec集成DDoS Secure和MX扩展了本地的应用程序层保护,使之包括从上游缓解更大规模的攻击。基于启发法的智能和针对MX上游执行的粒度攻击过滤规则的这种组合效应,可以保证网络不存在攻击流量,而且不中断正常的服务,同时使运营干预保持在最低水平。

瞻博网络DDoS Secure是利用基于启发法的DNS攻击检测方法并将缓解功能与上游MX路由器相结合的唯一解决方案,实现了靠近攻击源进行粒度、高效和分布式保护。将过滤器扩展到网络边界,使运营商能够处理威胁网络重要服务(例如DNS)可用性的大规模DDoS攻击。使用这种组合式的本地和网络检测与缓解攻击策略,可以化解所DDoS攻击——无论是基于DNS的攻击还是其他攻击。

参考资料

1.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:网络安全 lin_hongji@cnw.com.cn]