如今，公司和組織機(jī)構(gòu)需要對(duì)網(wǎng)絡(luò)上許多不同類型的DDoS攻擊有所準(zhǔn)備。近日，瞻博網(wǎng)絡(luò)正式發(fā)布數(shù)項(xiàng)全新的增強(qiáng)功能，這些增強(qiáng)功能將路由器作為執(zhí)行點(diǎn)，使DDoS Secure解決方案能夠幫助網(wǎng)絡(luò)更好地防御攻擊。

DDoS攻擊呈上升趨勢(shì)

在容量攻擊潛在地淹沒(méi)管道容量和攻陷邊緣設(shè)備并竊取背后受保護(hù)的資源情況下，在更靠近攻擊源的路由器化解容量攻擊便顯得非常重要。如果在邊緣準(zhǔn)確地檢測(cè)到攻擊，然后傳達(dá)給上游路由基礎(chǔ)設(shè)施，公司便可以在靠近攻擊源的位置有效地阻止惡意流量，而且不會(huì)中斷正常的服務(wù)，從而達(dá)到理想的防御效果。這種策略不但對(duì)緩減分布式拒絕服務(wù)(DDoS) 攻擊非常有效，而且對(duì)于確保DNS可用性也成效顯著。

但是，容量攻擊僅僅是問(wèn)題的一部分?；贒NS的針對(duì)性攻擊對(duì)于企業(yè)和服務(wù)提供商同樣是一大問(wèn)題?，F(xiàn)在，攻擊者可以通過(guò)多種方法，借助 DNS 摧毀網(wǎng)絡(luò)?？紤]到服務(wù)提供商的核心DNS基礎(chǔ)設(shè)施，DNS 放大/反射攻擊(DNS基礎(chǔ)設(shè)施參與攻擊)或消耗攻擊(DNS基礎(chǔ)設(shè)施自身遭受攻擊)可能會(huì)導(dǎo)致網(wǎng)絡(luò)運(yùn)營(yíng)停止，并對(duì)收入帶來(lái)嚴(yán)重的影響。例如，正如我們今年早些時(shí)候看到的Spamhaus和NTP攻擊一樣，當(dāng)攻擊放大到100倍量級(jí)的GB時(shí)，唯一的補(bǔ)救措施是在上游阻止攻擊流量。

網(wǎng)絡(luò)自身防御 DDoS

緩解DNS攻擊需要采取整體策略。在網(wǎng)絡(luò)邊緣本地檢測(cè)攻擊的同時(shí)，還必須在路由器的上游更有效地緩解攻擊。離網(wǎng)絡(luò)邊界越遠(yuǎn)，效果越好。這種組合拳可以最有效地防御DNS放大和反射攻擊。

但這是如何做到的呢?邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol, BGP)Flowspec是一種標(biāo)準(zhǔn)路由協(xié)議，該協(xié)議提供的機(jī)制可以在路由基礎(chǔ)設(shè)施正確地與本地DDoS解決方案相集成的情況下緩解DDoS攻擊。BGP Flowspec的粒度功能不但可以向下游的企業(yè)或數(shù)據(jù)中心提供干凈的管道，而且還可以盡可能靠近攻擊源阻止惡意流量。Flowspec的粒度使運(yùn)營(yíng)商能夠在上游的惡意流量攻擊鏈接之前，只清除這些惡意流量，不需要將所有流量轉(zhuǎn)移到數(shù)據(jù)清理中心。

瞻博網(wǎng)絡(luò)之路

瞻博網(wǎng)絡(luò)的MX路由器具備BGP功能，為DDoS Secure提供了理想的補(bǔ)充。通過(guò) BGP Flowspec集成DDoS Secure和MX擴(kuò)展了本地的應(yīng)用程序?qū)颖Ｗo(hù)，使之包括從上游緩解更大規(guī)模的攻擊?；趩l(fā)法的智能和針對(duì)MX上游執(zhí)行的粒度攻擊過(guò)濾規(guī)則的這種組合效應(yīng)，可以保證網(wǎng)絡(luò)不存在攻擊流量，而且不中斷正常的服務(wù)，同時(shí)使運(yùn)營(yíng)干預(yù)保持在最低水平。

瞻博網(wǎng)絡(luò)DDoS Secure是利用基于啟發(fā)法的DNS攻擊檢測(cè)方法并將緩解功能與上游MX路由器相結(jié)合的唯一解決方案，實(shí)現(xiàn)了靠近攻擊源進(jìn)行粒度、高效和分布式保護(hù)。將過(guò)濾器擴(kuò)展到網(wǎng)絡(luò)邊界，使運(yùn)營(yíng)商能夠處理威脅網(wǎng)絡(luò)重要服務(wù)(例如DNS)可用性的大規(guī)模DDoS攻擊。使用這種組合式的本地和網(wǎng)絡(luò)檢測(cè)與緩解攻擊策略，可以化解所DDoS攻擊——無(wú)論是基于DNS的攻擊還是其他攻擊。