姚宏洲:Radware两大创新技术应对DDoS攻击

在目前的应用经济下,企业对于应用交付的需求与日剧增。而安全特别是防DDoS能力成为应用交付厂商必备的服务项目,Radware是为虚拟数据中心和云数据中心提供应用交付和应用安全解决方案的领导厂商,其解决方案为关键业务应用提供充分的弹性、最大的IT效率和完整的业务灵敏性。Radware解决方案帮助全球上万家企业和运营商快速应对市场挑战,保持业务的连续性,在实现最高生产效率的同时有效降低成本。

近日,天极网采访了Radware中国区首席架构师姚宏洲,就目前的DDoS市场的热点问题进行了讨论。

新形势下的DDoS市场

如果说以前的DDoS攻击是长时间的持续性行为,那么步入新常态后,DDoS攻击时间都低于一小时,不再像以前持续那么久。姚宏洲表示,攻击行为产生效果后会在企业防御前撤退,同时通过变化攻击手法维持攻击的有效性。

虽然目前很多运营商提供了流量清洗服务,但是在受到攻击通知并启动运营商的流量清洗服务之前,攻击者可能已经转移了。所以这需要企业在应对DDoS攻击的时候需要更加有效的防御解决方案。

此外,DDoS攻击影响的范围在扩大,比如教育行业、政府和ISP。对于ISP来说,以前DDoS攻击的对象是主机托管商的客户,现在ISP自身也成为被攻击的对象。

在攻击手法上,DDoS攻击出现加密型的攻击,通过加密,攻击直接穿透防火墙。而且攻击是多维度的,不同类型的攻击混合使用。而且DDoS攻击的地域特征不是那么明显,也就是在中国发生的攻击也会出现在美国。

另外,DDoS攻击不再像以前那样偏向于偏向整个服务的阻断,所谓阻断就是服务完全不可用。姚宏洲解释说,现在的DDoS让服务变慢而不是直接阻断,通过影响服务的客户体验实现攻击。比如服务响应慢,其实是DDoS强制占用整个业务系统资源,从而拖慢系统,服务受到干扰,直接影响客户满意度。

DDoS攻击的自动化也是目前的一个新特征。姚宏洲说,如果攻击自动化,我们的防护也要自动化,才能够匹配它,攻击一直在变,你也要有方法。目前企业应用大多采用CDN加速,这样的一个问题是虽然加速了企业应用交付,但是安全问题也隐藏其中。比如CDN加速的是静态资源。动态资源,它会溯源到真实的数据中心的服务器来。经过CDN加速溯源,对于客户的数据中心而言,他有一个困扰,就是他所看的IP都是CDN的IP,因为CDN会做一个地址转换,在IP层看到的是CDN的IP。

攻击的用户跟实际的用户是夹杂在一起的。所以你需要有一套机制,判断攻击者跟非攻击者。以前以一个IP去判断是好人还是坏人,现在必须要更深层次判断,比如基于行为模式。针对于此,Radware有一个机制是根据指纹进行识别。对于我们的目的站点而言,同一个源地址,有攻击行为,又有正常行为。虽然都是同一个IP来的,但是这个请求是从某一台特定设备出来,另外的请求是从另外一台设备出来,这是我们所谓的设备指纹。

不光CDN,手机上网也是同样如此。通过基站进行IP地址转换,而通过设备指纹可以很好解决这个问题。

Radware设备指纹识别技术可以让Radware客户无需互联网协议IP地址就可以实现对最终用户设备的追踪。通过使用设备的多种特性进行设备的准确识别并与其它设备进行区分。Radware可以利用专利追踪技术生成设备信誉档案,档案中包括可以帮助用户检测并缓解分布式拒绝服务DDoS攻击、入侵和欺诈行为等威胁的历史行为信息。

精确的设备级检测可以实现更加有效的流量防护,能够识别那些可以规避基于IP地址的安全措施的数据流。这些数据流包括来自内容分发网络CDN并带有白名单列表中IP的的恶意流量、采用动态主机配置的流量(每次访问互联网时都会生成一个新的IP地址)。网络地址转换NAT设备允许多个设备共享同一个IP地址,同时,匿名代理服务也使在不影响合法用户/设备的前提下进行IP地址拦截变得非常困难,而设备指纹识别技术则可以很好地识别这些利用网络地址转换设备进行互联网访问的恶意用户。

目前的DDoS攻击量非常大,姚宏洲表示,为什么攻击量会突然上升那么多?实际上跟所谓的机器人攻击和肉机攻击有直接关系。从持续性的攻击行为,变成大概一个小时内的攻击行为。但是它可以在这么短的时间内实现如此大的攻击量,就是依靠僵尸网络(Botnet)实现统一的攻击行为。

针对目前大流量网络攻击,Radware推出全新攻击缓解平台DefensePro
x4420,提供高达300Gbps/230Mpps的攻击防御处理能力。Radware的这一全新平台可以防御当前最棘手的高容量DDoS攻击,如:UDP反射攻击、分片泛洪攻击和OOS泛洪攻击等,同时还可以识别和缓解隐藏在多载体攻击中的复杂低容量威胁。

作为业界首个可以支持100Gb接口及每秒2.3亿个攻击包处理能力的专用攻击缓解平台,Radware DefensePro x4420支持多租户使用环境,可以为每个租户提供多达1000条主动安全策略、独立的处理能力和定制化的管理及报告功能。

云计算下的DDoS攻击

我们知道目前云计算、移动互联网、物联网等对于企业IT基础设施产生了巨大的影响,对应着企业安全也受到这些技术趋势的影响。比如物联网,姚宏洲表示,IoT物联网成为僵尸网络,带宽不大,但是请求比较多,请求的巨量直接实现服务的阻断和干扰。

另外,云计算的发展虽然给企业带了红利,但是企业应用的云端迁移让其脱离企业本地的安全体系,而云提供商并不具备这样的安全防护,从云端来的数据直接进入企业内部。这对于企业安全造成了很大的困扰。

所以,企业需要在云端部署安全解决方案,实现本地防护体系与云端互动。姚宏洲说,虽然目前市面上的安全厂商也推出了云端的解决方案,而其也实现了与本地的互动。但是他们的这种互动只是局限于通知联动的功能,如何实现防护信令和策略的同步才是本地物理的防护扩展到云端虚拟化环境的关键。这也是Radware云端安全策略的最大优势。

信息的沟通内容非常重要,姚宏洲以消防员接到失火通知为例,如果只是单纯告知失火,消防员并不能有针对性地灭火。当详细告知失火地址、失火时间、失火类型等信息,消防员才能提前准备好相应的有效设备进行快速灭火。对应企业安全也是如此,本地设备遭受攻击的详细信息被上传到云端,才能部署更为有效的防御手段。

安全策略同步派发到云端,或者是甚至有人在攻击云端的时候,你可以把这个信息,通知本地设备,这样形成一个防护网才能真正实现云端的防护。拿Radware设备指纹来说,如果有人攻击本地数据中心,我会记录他的设备指纹,然后把这个相同的设备指纹派发到云端防护设备,这样就可以很好地实现企业混合云环境的安全防护。

对于云端CSP如何实现自身的安全防护,姚宏洲给出了相应的建议。CSP应该保护好自身的基础设施,在保护基础设施以外,还可以再卖给他的客户,变成一个安全的增值服务,实现创收。

目前Radware针对CSP除了安全防护方案,还有页面加速及服务等级保障监控的方案。Radware会从两个方向来看,一个是应用交付,一个是应用安全,从这两个面实现应用保障。姚宏洲补充说,我们跟CSP的整合,最重要的是灵活度,也就是我们的API跟他们的业务的绑定。从应用交付和应用安全两个方面实现自动化的联动。另外,我们看到OpenStack在CSP中普及,Radware也提供了相应的API来实现与OpenStack的集成。

所以,Radware的安全设备不单单只是考虑到所谓的安全威胁防护,实际上也注重应用的保障跟其他第三方的开放整合。在商务模式上,Radware也是非常灵活的,可以根据客户需求进行定制,比如服务采用Radware,而品牌采用他们自己的,CSP可以据此提高ROI投资回报率,实现安全服务的拓展。

总结

目前DDoS攻击市场呈现了很多新的特征,Radware创新性将应用交付和应用安全进行整合,而从最大程度保障企业业务的连续性。

本文转自d1net(转载)

时间: 2024-09-25 16:04:53

姚宏洲:Radware两大创新技术应对DDoS攻击的相关文章

F5推100Gbps以太网刀片产品 应对DDoS攻击

日前,F5推出了一款100Gbps以太网刀片,可以应用于基于八刀片的机架产品线,能够在一定程度上抵御DDoS攻击. F5推100Gbps以太网刀片产品 应对DDoS攻击(图片来自Yahoo) 据悉,这款产品配备了两个100Gbps以太网端口,以及六个40Gbps以太网端口,支持超过10亿的并发连接.该公司称,在2G和3G网络下,主要信令协议为SS7,不过到了LTE和4G时代,信令控制层就能转移至新的DIAMETER协议. 也可以说,2G或3G语音通话在每个方向只会产生一个信令事件.然而在全IP

Radware:上周五美国大规模DDoS攻击是如何发生的

10月21日上午,Dyn遭受到拒绝服务(DoS)攻击,造成了托管DNS网络的中断.成千上万的网站因此变得不可访问,其中包括Amazon EC2.当天晚些时候,当攻击者发起第二轮针对Dyn DNS系统的攻击时,问题又进一步加剧了.Dyn的攻击缓解措施可以通过RIPE网站查看,视频介绍了BGP切换. Dyn宕机中Amazon的状态更新 域名服务器(DNS)就像电话簿或互联网路径图.这些服务保存了域名和相应IP地址的目录.相对于IP地址,人们更容易记住域名,因此,当用户在浏览器中键入Radware.c

阿里云容器服务--配置自定义路由服务应对DDOS攻击

TCP洪水攻击(SYN Flood) ECS系统参数调整,应对TCP洪水攻击,打开文件/etc/sysctl.conf,配置如下参数 # Protection SYN flood net.ipv4.tcp_syncookies = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.tcp_max_syn_backlog = 1024 执行如下命令,使配置文件生效 sysctl -p 慢速连接攻击 一个 Http 请求通常包括头部.url.methods 等,服

网站安全联盟:站长如何应对DDOS攻击系列教程(一)

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 上次说到网站安全联盟在帮助网站解决DDOS 攻击时采用的方法:首先确定网站遭到的攻击是 DDOS;再确定DDOS攻击的类型,并构建防御体系;之后是实施防御体系,查看效果并调整防御体系. 那如何确定网站遭到的攻击是DDOS呢,归纳来讲,在遭到DDOS攻击时,大致会出现以下几个症状,可以说如果网站服务器出现了下面所有的症状,那网站基本上可以确定是

网站安全联盟:站长如何应对DDOS攻击系列教程(四)

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 在网站发生DDOS拒绝服务攻击时,EeSafe在帮助网站解决时采用的方法中确定DDOS攻击类型是第二个环节,也是在解决DDOS中承上启下的一步. 那当前网站安全联盟将遇到的拒绝服务攻击分为以下主要的三类: 1.经升级和变化的SYN攻击 这种攻击对基于提供端口提供服务的网站最有效,可以说它能够通杀各种服务器操作系统的网络服务.其原理是利用僵尸网

网站安全联盟:站长如何应对DDOS攻击系列教程(三)

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 现在网络上DDOS攻击已经是司空见惯了,针对于网站的DDOS攻击大多基于脚本页面,也就是常说的cc攻击.从去年到今年,eesafe针对cc攻击给好多网站做过技术支撑,同行业和同类型网站相互攻击已经是不成文的竞争机制.如何能在这样的环境中让网站正常运行,大多数站长很头疼,碰到问题找我们帮忙.我想为什么不把网站安全联盟的cc解决方案整理一下让大家

网站安全联盟:站长如何应对DDOS攻击系列教程(二)

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 做了多年网站,经历过网站遭受攻击的情况,一开始也摸不着头绪,后来在不断的学习摸索中,渐渐地学会了一些判定攻击类型的方法. 今天先和大家分享三招判定DDOS攻击的方法,都是我自己总结出的经验,有什么好想法可以和我交流. 1.判断和服务器的数据交互速度.如使用ping命令. Ping www.xxx.com –t 含义是一直不停向网站服务发送并接

Windows服务器应对高并发和DDOS攻击的配置方法_win服务器

windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况. 通过以下配置可以改善windows服务器性能: 一.应对高并发请求: 1.TCP连接延迟等待时间 TcpTimedWaitDelay: 这是设定TCP/IP 可释放已关闭连接并重用其资源前,必须经过的时间.关闭和释放之间的此时间间隔通称 TIME_WAIT状态或两倍最大段生命周期(2MSL)状态.在此时间内,重新打开到客户机和服务器的连接的成本少于建立新连接.减少此条目的值允许 TC

Radware为夏威夷电信公司全新的DDoS攻击缓解服务提供支持

日前,全球领先的网络安全和应用交付解决方案提供商Radware(NASDAQ: RDWR)公司宣布,夏威夷电信公司(NASDAQ: HCOM)全新的云安全互联网防护服务中采用了Radware的实时分布式拒绝服务(DDoS)攻击缓解措施,用以保护企业客户和企业网络的安全. 作为夏威夷的技术领导者,夏威夷电信公司为夏威夷人民和企业提供了光纤通信.信息和娱乐解决方案,同时也在不断寻求新的防御措施和改进功能,保护自身与银行.医院.政府机构.军事部门.学校等依靠其服务的机构的安全. Radware攻击缓解