博客

西方最快的 DDoS 缓解措施

Jay Kelley 缩略图
杰伊·凱利
2016 年 3 月 3 日发布

每天,各种规模的公司都会遭受黑客和网络攻击的侵袭。 这些袭击的频率和数量持续上升,似乎失去了控制,没有减弱的迹象。 但袭击不仅规模巨大,而且其贪婪性和报复性也十分显著。

一些最基本但最有效的网络攻击可以使组织及其应用陷入瘫痪,它们是分布式拒绝服务 (DDoS) 攻击。 DDoS 攻击有几种不同的类型。 典型的 DDoS 攻击试图使用持续不断的流量来超越网络防御,这些流量通常来自多个受感染的系统或类似机器人的设备。 这些容量攻击的目的是压倒网络的容量,特别是其处理每秒连接数 (CPS) 的能力;这被称为上升率。 它们的目的是淹没你的网络防御,压倒并最终耗尽它们,从而拒绝真实、合法的用户流量访问。

这有点像人体处理严重感染的方式。 我们的白细胞会竭尽全力抵抗感染;不幸的是,这会使身体容易受到其他继发感染,因为身体的防御能力在试图应对最初的严重感染时不堪重负。 网络攻击也会发生同样的情况。 DDoS 攻击还可用作一种干扰手段,迫使组织集中所有防御和努力来解决已知的 DDoS 攻击,而二次攻击(就像二次感染!)会渗透到网络、窃取数据等,而所有防御注意力都集中在更明显的 DDoS 攻击上。

DDoS 攻击的另一种形式是利用大量合法连接来淹没和超载状态防御设备的内存,迫使它们拒绝合法连接。 还有一种 DDoS 攻击不会试图用请求淹没网络,而是每次发送一个字符的恶意数据,通过消耗所有重要的内存使网络速度变得非常慢。 然后,还有混合 DDoS 攻击,它可以结合一种或多种不同的攻击类型。 

我们也来考虑一下这些袭击的代价。 据信息服务公司 Neustar 称,一次简单的 DDoS 攻击给银行机构造成的损失约为每小时10 万美元1! 根据卡巴斯基实验室的 DDoS 情报报告2,2015年持续时间最长的DDoS攻击持续了371个小时。 如果该 DDoS 攻击针对的是银行机构,那么该企业可能损失超过 3710 万美元!

更糟糕的是,根据 Arbor Networks 第 11年度全球基础设施安全报告3,2015 年的 DDoS 攻击峰值为 500 Gbps。

质疑application安全性

这些针对企业的攻击的猛烈程度和恶意甚至会让最注重安全的组织也对其应用防御能力产生怀疑。 企业如何确保其应用和数据不会成为恶意攻击及其邪恶负载的牺牲品,从而导致数据遭到破坏和毁坏,或者更糟的是,关键敏感数据 — — 特别是用户、员工、患者和其他人的数据 — — 被勒索? 企业如何确保自己不会成为恶意 DDoS 攻击的下一个受害者? 这些攻击将如何影响企业的资源、用户以及潜在的品牌和声誉?

现在以及将来,企业需要更高水平的并发性、连接性和吞吐量来应对不断涌现、不断创新且不是好方式的攻击。 他们需要强大的、分层的防御。 它们将需要更高的规模,甚至更高的性能。

无论现在还是将来,企业都需要 F5。

通过快速 DDoS 缓解措施增强企业能力

2016 年 2 月22日发布的 100GbE F5 VIPRION B4450 刀片具有业界领先的并发连接性和吞吐量,可确保企业的网络、应用和数据的安全。 当与BIG-IP 高级防火墙管理器 (AFM)的全代理方法(F5 的高性能、状态化、全代理防火墙)联合部署时,符合 NEBS 标准的 VIPRION B4450 刀片可在 F5 的 4 刀片 VIPRION C4450 或 8 刀片 C4800 机箱中运行,提供快速的 DDoS 缓解功能,帮助企业抵御各种 DoS 和 DDoS 威胁。 在 DDoS 攻击期间,这种新刀片可以快速区分恶意连接和合法连接,并在恶意连接消耗和压垮网络和应用资源之前吸收或丢弃它们。

抵御恶意攻击和保护网络、应用和数据的需要进一步促使企业继续在安全方面进行大量投资。 F5 VIPRION B4450刀片搭配VIPRION C4480和C4800机箱,为企业提供强大助力。 它支持市场领先的超过十亿个并发连接,可轻松处理不断增长的用户、应用和数据数量。 VIPRION B4450刀片与C4450或C4800机箱相结合,确保企业及其网络、应用和数据的保护和安全。

防御 L7 攻击

虽然容量耗尽型 DDoS 攻击似乎引起了广泛关注,但应用攻击也在成倍增加。 而且它们正变得更加危险和阴险。 VIPRION B4450 刀片的第 7 层吞吐量比任何其他 F5 刀片和机箱都要高出许多,其性能足以缓解最活跃的恶意应用攻击。 VIPRION B4450 刀片可缓解并提供应用攻击载体的早期预警,并以卓越的功效防御大多数多管齐下、同时发生的攻击载体。

与 BIG-IP应用安全管理器 (ASM)(F5 的敏捷、可扩展的 Web应用防火墙 (WAF))结合使用时,F5 VIPRION B4450 刀片可以缓解和防御几乎所有遇到的 L7 攻击,该防火墙利用 F5 的深度应用流畅性来检测和缓解基于 HTTP 的应用,通过全面的基于策略的 Web应用安全性保护重要应用,并提供第 7 层 DDoS 防御功能来检测、缓解并实现对细粒度攻击的可视性。

网络和应用攻击以创纪录的速度增长——IBM 赞助的 Ponemon Institute 最近发布的一份报告4Juniper Research 称,每年发生 150 万起网络攻击,造成的损失比以往任何时候都要大5在最近的一份报告中指出,到2019年,网络犯罪每年将给企业造成超过2.1万亿美元的损失,企业必须竭尽全力保护自己、员工、患者、用户、网络、应用和数据以及声誉。 并发连接数的增加是由智能设备功能的不断增强、每台设备应用程序数量的不断增加以及每人连接的设备数量的不断增长所驱动。 为了应对这些挑战,企业需要具有最高容量、吞吐量和性能且可随意扩展的解决方案。 但是,创新和技术的发展,能够解决现在所必需的安全方面的快速变化,而不需要修改和更换,从而增加成本。

这就是当今企业需要 F5 及其 100GbE VIPRION B4450 刀片的原因!

参考

1Neustar,《银行因更短、更猛烈的 DDoS 攻击每小时损失高达 10 万美元》,作者:Penny Crossman,《美国银行家》,2015 年 4 月 23 日

2卡巴斯基实验室 2015 年第四季度 DDoS 情报报告

311第 20届年度全球基础设施安全报告,Arbor Networks

42015 年数据泄露成本,波耐蒙研究所和 IBM

5网络犯罪和安全的未来:金融和企业威胁及缓解措施,Juniper Research,2015 年 5 月