互联网通道在过去十年中变得更加臃肿。我们已经从 1 Mbps 链路转向 1 Gbps 链路。大多数企业的数据中心至少有 1 Gbps ISP
链路。在过去,QoS、数据包精简、应用程序优先级等等曾经是一个大问题,但现在我们只是投入更多的带宽容量来解决任何潜在的性能问题。然而,在保护您的基础架构免受
DDoS 攻击时,1 Gbps、10 Gbps 甚至 40 Gbps 的容量完全不够。因为在 2019 年,即使是相对较小的 DDoS 攻击也超过
10Gbps,而较大的 DDoS 攻击大于 100Gbps。
因此,当安全专精人员设计 DDoS 防御解决方案时,关键考虑因素之一是 DDoS 防御服务的容量。也就是说,要弄清楚哪个 DDoS
防御服务实际上有能力承受最大的 DDoS 攻击。让我们来看看一些可用的解决方案,并了解供应商声称的容量与阻止大规模 DDoS 攻击的实际能力之间的差异。
一、内部部署 DDoS 防御设备
首先,要警惕任何路由器、交换机或网络防火墙,它也被定位为 DDoS 防御设备。它们有可能无法承受超过 10Gbps DDoS
攻击。有少数公司制造专用的 DDoS 防御设备。这些设备通常部署在网络边缘,尽可能靠近 ISP 链路。这些设备中的许多设备可以防御 10 Gbps
的攻击,但是,广告的防御容量通常基于一个特定的攻击向量,所有攻击数据包都具有特定的大小。
无论供应商如何,您都需要测试设备承受多向量攻击的能力,在真实世界中的性能表现以及在给定吞吐量下通过干净流量的能力。防御大规模攻击,pps 有时比
bps 更重要,许多设备将首先达到他们的 pps 限制。您还要确保深入研究攻击防御设备的内部,特别是如果在传递正常流量时使用相同的 CPU
来防御攻击。最有效的设备将攻击流量与正常流量隔离开来,从而确保攻击防御而不影响正常流量。
最后,请记住,如果您的 ISP 链路容量为 1 Gbps,并且您有一个能够防御 10Gbps 的 DDoS 防御设备,则不会受到 10Gbps
攻击的保护。这是因为即使在内部部署设备有机会 “清理” 攻击流量之前,攻击也会填满您的通道。
二、基于云的清洗中心
广泛部署的第二种 DDoS 防御解决方案是基于云的清理解决方案,例如高防IP。在这里,您不需要在数据中心安装 DDoS
防御设备。相反,您使用部署在云中的 DDoS 防御服务。使用此类解决方案,您可以连续地从数据中心向云服务发送遥测,当出现与 DDoS
攻击相对应的峰值时,您会将流量 “转移” 到云服务。
有一些供应商只是添加他们在所有数据中心拥有的所有 ISP
链路的净容量。这是误导性的,因为他们可能会将正常的每日清洁流量添加到广告容量中。因此,请询问他们排除正常的清洁流量以后可用的攻击防御容量。
有一些供应商提供这种类型的解决方案,但同样,在涉及云 DDoS 服务的容量时,魔鬼就是细节。一些供应商只是添加他们在所有数据中心拥有的所有 ISP
链路的 “净” 容量。这是误导性的,因为他们可能会将正常的每日清洁流量添加到广告容量中 – 因此请询问可用的攻击防御容量,排除正常的清洁流量。
此外,供应商可能在不同的清洗中心具有不同的容量,并且所有清洗中心的净容量可能无法很好地反映您关注的数据中心所在地的清洗中心攻击防御能力。最后,重要的是
DDoS 防御提供商为清洁流量提供完全独立的数据路径,并且不会将干净的客户流量与攻击流量混合在一起。
三、内容分发网络
第三种类型的 DDoS 防御架构基于利用内容分发网络(CDN)来扩散大型 DDoS 攻击。然而,当涉及到 CDN 的 DDoS
防御能力时,情况再次变得模糊。
大多数 CDN 在全球范围内分布有 10s、100s 或 1000s 的 PoP。许多人只是计算所有这些 PoP
的净总容量,并将其作为总攻击防御能力进行宣传。这有两个主要缺陷。真实世界的 DDoS 攻击很可能来自有限数量的地理位置,在这种情况下,真正重要的容量是本地
CDN PoP 容量,而不是所有 PoP 的全球容量。
其次,大多数 CDN 在所有 CDN 节点上都传递了大量正常的客户流量,因此如果 CDN 服务声称其攻击防御容量为 40Tbps,则可能计入正常流量的
30Tbps。您需要确定的是,未使用的总容量是多少,无论是净总量水平还是地理区域内。
四、香港高防服务器
知名香港数据中心、香港服务器租用服务商,推出的香港高防服务器,成为越来越多企业级外贸电商客户的优先选择。其香港高防服务器,是指客户租用一台具备
DDoS 攻击防御能力的香港服务器,无需备案,快速上线。其香港高防服务器基于先进的攻击智能检测处理平台,可在 5 分钟内快速识别多达 25 种以上的 DDoS
变种攻击、CC 攻击及其任意组合,并秒级触发清洗机制,有效防御能力高达 310Gbps。且支持压力测试和防御无效退款承诺。如果你的网站没有备案需求,且面临
DDoS 威胁,建议参考高防服务器,或者其即将推出的高防 IP 服务。
五、基于 ISP 提供商的 DDoS 防御
许多 ISP 提供商提供 DDoS 防御作为 ISP
通道的附加服务。这听起来是一个自然的选择,因为他们能够监控到所有流量,甚至在这些流量未到达您的服务器之前。所以最好在 ISP
的数据中心内阻止攻击。对吧?遗憾的是,大多数 ISP 在其自己的基础架构中部署了半适当的 DDoS
防御,并可能将攻击流量传递到您的服务器中。事实上,在某些情况下,某些 ISP 实际上可能会在您受到攻击时封停您的
IP,以保护其他与您共享网络资源的客户不受攻击连带影响。询问您的 ISP 服务商,如果他们发现 500Gbps 攻击发生在您的服务器上,会发生什么。
上面讨论的所有 DDoS
防御解决方案都是有效的并且被广泛部署。但是,您应该从服务提供者那里获取其真实的攻击防御能力信息。根据本地容量、清除和攻击流量之间的区别,任何攻击上限和任何
SLA 来测试您的提供商。最终选择一家可靠的 DDoS 防御服务来为您的在线业务保驾护航。