防御DDoS分布式拒绝服务保证业务的永继性 (…

DDoS 防御的 ROI 模型

当然，实施完整 DDoS 保护需要成本。部署这样一个系统的 ROI(reture on investment) 投资汇报率是令人感兴趣的。

• 电子商务
  与一个 DDoS 攻击造成的潜在损失相比，电子商务站点的 DDoS 保护可以在几个小时之内就让他们收回成本。当决定任何相关的 DDoS 造成的故障时间的财政影响时，一个电子商务站点的交易容量、平均每个交易的收益、广告收益、无形资产例如商标权和法定责任、恢复被攻击站点需要的技术人员时间，都应该考虑在内。
• 服务提供者
  作为服务提供者，保持自己的网络处于工作状态有巨大的投资回报。如果一个提供者的基础设施被攻击（路由器、 DNS 等），对客户的所有服务都将失败，造成 SLA 严重侵害。 DDoS 保护的花销可以看成是防止灾难性失败的保险费，而这样的失败会导致大部分商业订单在收益和消极客户关系方面付出高昂的代价。然而，避免代价并不是宿主、运载和服务提供者实行完整 DDoS 解决方案的唯一动机。对于这些使用者， DDoS 保护可以提供来作为一项增值服务业务，能够创造出新的收益流，提高竞争优势。

缓和 DDoS 威胁

从事于 DDoS 攻击防御需要一种全新的方法，不仅能检测复杂性和欺骗性日益增加的攻击，而且要缓和攻击的影响，以确保商务持续进行和资源持续有效。

完整的 DDoS 保护围绕四个关键主题建立：

• 要缓解攻击，而不只是检测
• 从恶意业务中精确辨认出好的业务，维持业务继续进行，而不只是检测攻击的存在
• 内含性能和体系结构能对上游进行配置，保护所有易受损点
• 维持可靠性和成本效益可升级性
• 建立在这些构想上的 DDoS 防御具有以下保护性质：
• 通过完整的检测和阻断机制立即响应 DDoS 攻击，即使在攻击者的身份和轮廓不断变化的情况下。
• 与现有的静态路由过滤器或 IDS 签名相比，能提供更完整的验证性能。
• 提供基于行为的反常事件识别来检测含有恶意意图的有效包。
• 识别和阻断个别的欺骗包，保护合法商务交易。
• 提供能处理大量 DDoS 攻击但不影响被保护资源的机制。
• 攻击期间能按需求布署保护，不会引进故障点或增加串联策略的瓶颈点。
• 内置智能只处理被感染的业务流，确保可靠性最大化和花销比例最小化。
• 避免依赖网络设备或配置转换。
• 所有通信使用标准协议，确保互操作性和可靠性最大化。

基于检测、转移、验证和转发的基础上实施一个完整 DDoS 保护解决方案来提供完全保护，通过下列措施维持业务不间断进行：

• 时实检测 DDoS 停止服务攻击攻击。
• 转移指向目标设备的数据业务到特定的 DDoS 攻击防护设备进行处理。
• 从好的数据包中分析和过滤出不好的数据包，阻止恶意业务影响性能，同时允许合法业务的处理。
• 转发正常业务来维持商务持续进行。

完整 DDoS 防护解决方案套件

完整 DDoS 防护解决方案提供完整保护来防御各种 DDoS 攻击，甚至那些还未出现过的。以积极缓解性能为特色，快速检测攻击，从合法业务中分离出恶意数据包，提供以秒计而不是以小时计的快速 DDoS 响应。该方案容易布署在关键路由器和交换机附近，有可升级的选项来消除任何单个故障点，并且不影响任何现存的网络部件的性能和可靠性。

完整 DDoS 防护解决方案套件需要两个独立的组件—— Detector 攻击探测器和攻击防护卫士，两部分系统协同工作，能为任何环境提供 DDoS 保护。

• 攻击探测器：作为早期报警系统，探测器提供对最复杂 DDoS 攻击的深入分析。探测器被动监测网络业务，搜寻与“正常” 行为的偏差或 DDoS 攻击的基本行为。攻击被识别后，检测器发警报给攻击保护卫士，提供详细的报告和具体警报来快速响应该威胁。例如，即使在没有超出全面界限的情况下，检测器也需要能观测到从单个源头来的 UDP 包速率超出了范围。
• 攻击保护卫士：攻击保护卫士是完善 DDoS 解决方案套件的基石——它是一个高性能 DDoS 攻击缓解设备，不仅能部署在上游的 ISP/ 数据中心，还能部署在一个大企业内部来保护网络和数据中心资源。

当攻击保护卫士被通知有一个目标处于被攻击状态时，指向目标的业务将被转移到与该目标设备相连的防护卫士。然后，业务将通过五个阶段的分析和过滤，以除去所有恶意业务使得好的数据包能不间断的继续传送。

攻击保护卫士位于一个单独网络接口处的路由器或交换机附近，在不影响其他系统的数据业务流情况下实现按需保护。由于它的位置，攻击保护卫士可同时保护多个可能的目标，包括路由器、 Web 服务器、 DNS 服务器、 LAN 和 WAN 带宽。

MVP 多级验证体系结构

攻击保护卫士的下一代 DDoS 防御解决方案是基于一个独特的、申请专利的多验证过程 (MVP) 结构，就是将各种验证、分析和实施技术结合在一起用来从合法业务中识别和分离恶意业务。这个净化的过程由五个模块（步骤）组成：

• 过滤：该模块包括静态和动态的 DDoS 过滤器。静态过滤器用来阻断非必要的业务到达受害目标，用户可对其进行配置的并且已预先设定缺省值。动态过滤器由其它模块根据观测到的行为和对业务流的详细分析动态嵌入，它能提供实时的升级来提高对可疑流的验证级别以及阻断被确定为恶意的源头和数据流。
• 反欺骗：该模块用以核实进入系统的数据包没有欺骗信息。攻击保护卫士使用许多独特的源鉴定机制来阻止欺骗的数据包到达受害者。反欺骗模块还提供一些机制用来确保合法业务的正确识别，在事实上消除了有效包被抛弃的危险。
• 异常识别：该模块监测所有通过了过滤器和反欺骗模块的业务，并将其与随时间纪录的基准行为相比，搜寻那些有偏差的业务，识别恶意包的来源。该模块工作的基本原理用来识别攻击源和类型，提供阻断业务的警戒线或对可疑数据实施更详细的分析。

  标签：

  版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
  特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有