博客

使用 F5 BIG-IP DDoS 保护的安全application交付解决方案

Griff Shelley 缩略图
格里夫·雪莱
2024 年 1 月 5 日发布

交通堵塞并不好玩。 但数字交通拥堵可能更为严重。 您遇到过多少次这样的情况:您输入用户名和密码,尝试通过银行的移动应用程序查看账户余额,但最终却一无所获,您的浏览器不断尝试连接到银行的服务器,而您等待的心情却一分一秒地高涨。

不幸的是,这种情况并不少见。 全球各地的大小银行都以惊人的频率遭遇分布式拒绝服务 (DDoS) 攻击。 从某种程度上来说,这是可以理解的。 良好的应用安全和交付策略包括一套技术和实践,它们协同工作,为最终用户提供快速、可靠、安全的应用体验。 从本质上讲,复杂的应用程序(例如银行通常使用的应用程序)会带来多种攻击类型的载体。 仅去年一年,欧洲金融机构遭受的 DDoS 攻击就比前一年增加了 73% 。 DDoS 攻击,或者换句话说,恶意行为者故意造成流量堵塞,试图耗尽系统资源,导致目标服务器崩溃或速度变慢,从而导致合法流量无法访问所需的应用。 这就像有人专门制造交通堵塞来阻止你准时上班一样。 因此,很容易看出这些攻击可能造成的负面影响:收入损失、商业声誉受损,如果您的页面或应用程序加载时间超过两秒,客户可能会感到沮丧,转而使用竞争对手的应用。

日益严重的威胁: 容量耗尽型 DDoS 攻击

以下是此类头痛从轻微头痛发展为偏头痛的情况: 恶意攻击者可以针对应用发起数十种DDoS攻击,攻击 OSI 模型的多个层面,并对应用程序用户和提供商造成严重破坏。 这就像是一次扭曲的 Baskin-Robbins 起飞——31 种口味的拒绝服务。 但最常见、最令人愤怒的 DDoS 攻击是容量耗尽型 DDoS 攻击,这种攻击尤其常见于传输层(OSI 模型的第 4 层)。 尽管容量耗尽型 DDoS 攻击的具体细节各不相同,但最终结果是相同的:攻击者向目标服务器注入大量流量,以最大程度地利用其 CPU 和内存,从而导致其发生故障并中断任何连接客户端(无论是合法客户端还是其他客户端)的服务。 令人愤怒的是:它们很便宜,几乎任何能访问暗网的人都可以启动一个。 只需每小时几美元,攻击者就能有效地摧毁一个应用或网站,可能给受害者造成数百万美元的商业收入损失。

这些攻击为何重要: 成本

毋庸置疑,这些类型的攻击会给试图访问生活所需应用的用户带来麻烦。 但在这种情况下还有另一方可能更沮丧:在幕后运作的 NetOps 和 SecOps 团队,致力于确保应用的可用性和安全性。 对于他们来说,任何类型的 DDoS 攻击都不仅仅是带来不便那么简单;它可能会扰乱整个月的活动,颠覆其他项目,并耗费宝贵的时间、金钱和人力资源来修复。

除了经济影响之外,这些袭击造成的人员伤亡也不容低估。 在某些情况下,DDoS 攻击作为一种转移手段,允许攻击者在拒绝服务的同时从受害者的数据库中窃取用户的个人信息,从而增加损害和破坏。 个人身份信息 (PII) 落入不法之徒的手中,受人尊敬的公司失去公众信任,各种运营团队浪费了大量时间来进行清理或修复,而作为其业务命脉的应用程序则遭受了长期停机。

F5 安全application交付解决方案

然而,也并非全是悲观和沮丧。 F5 的BIG-IP 本地流量管理器 (LTM)能够在遭受 DDoS 攻击时保持应用正常运行,充当应用与试图关闭该应用的问题用户之间的缓冲区。 如果您已经在您的环境中部署了 BIG-IP LTM,那么您将增强您的网络层(第 3 层)和第 4 层保护,这要归功于它检测和缓解网络和传输级别的 DDoS 攻击的能力。 值得注意的是,虽然 BIG-IP LTM 为这些层提供了出色的安全解决方案,但将其部署为唯一的安全解决方案并不能形成整体应用安全策略。 为了使您的应用交付策略能够应对多种威胁,缓解应用层(第 7 层)攻击应该是您的待办事项列表的首要任务。

由于其隐秘性,这些类型的攻击可能是最成问题的攻击之一,因为众所周知,它们很难通过传统防御机制检测到。 传输层或网络层的容量型 DDoS 攻击可能表现为突然的流量洪流,而第 7 层攻击则会隐藏起来,混入合法应用流量中,随着时间的推移逐渐增大,直至压垮服务器和应用,并拒绝来自合法应用程序流量的请求。

通过 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)提供全面保护

这些因素可能使第 7 层 DDoS 攻击对于 NetOps 和 SecOps 团队来说尤其令人烦恼,因为它们可以摧毁整个在线企业的部分,同时比其他类型的 DDoS 攻击更长时间内不被发现。 您可以在我的同事 Jay Kelley 的精彩文章中阅读有关此类攻击可能造成的损害的更多信息,该攻击对 Microsoft 的 Outlook、OneDrive 和 Azure Portal应用产生了负面影响。 因此,如果您需要第 7 层保护(如果您为用户支持应用,那么您绝对需要),请考虑将BIG-IP Advanced WAF(API 安全 - 新一代 WAF)添加到您的应用交付策略中。 它是一种专用的Web应用防火墙(WAF),可补充任何 BIG-IP LTM 部署,确保跨越更多层的应用程序安全策略,让您和您的用户更加安心。 要了解有关不同类型的 DDoS 攻击及其影响的 OSI 层的更多信息,请查看CISA 的 DDoS 攻击指南。 如果您想评估 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)功能,请联系我们的销售团队进行演示。