DDoS 防护
分布式拒绝服务 (DDoS) 攻击时刻威胁着企业,攻击导致的网络停机可能会严重损害企业品牌形象,甚至造成重大经济损失。随着大量物联网设备组成的僵尸网络以及 DDoS 租赁服务的出现,攻击威胁日益严峻。F5 推出的 DDoS 防护对您的架构具有举足轻重的意义。
遭到攻击?请致电 (866) 329-4253 或 +1 (206) 272-7969
容量
此类攻击会耗尽应用与互联网或其他网络之间所有可用的带宽。
应用
此类攻击会伪装成合法的应用请求,企图使 Web 服务器的 CPU 或内存等资源超过负荷。
计算
此类攻击企图耗尽基础资源,例如防火墙状态表,进而导致崩溃或性能下降。
HTTP 淹没攻击
在 HTTP 淹没攻击中,攻击者会利用表面上合法的 HTTP GET 或 POST 请求来攻击 Web 服务器或应用。此类攻击消耗的带宽通常比其他类型低,但其核心是触发服务器端复杂的处理机制,从而导致目标站点或应用崩溃。HTTP 淹没攻击有时还会触发 Web 服务器响应,进而转化为管道饱和容量攻击。
Slowloris 攻击
Slowloris 的工作原理是打开与 Web 服务器间的多个连接,并发送 HTTP 请求,但这些请求没有结尾。攻击者周期性地为每个请求发送后续的 HTTP 标头,但永远不会真正结束。最终,目标服务器的最大并发连接池被占尽,导致合法连接遭拒。
重型 URL 攻击
在攻击前的侦查阶段,攻击者会找出站点或应用中计算代价最高的 URL,又称为重型 URL。重型 URL 包含在请求时会加重服务器负载的各种 URL。最初的 HTTP 请求相对较小,但往往需要大量时间才能完成或可能产生巨大的响应规模。此类请求可能会要求服务器加载多个大型文件或运行极其占用资源的数据库查询。
慢速攻击
攻击者首先会向 Web 服务器发送合法的 HTTP POST 请求,该请求的标头明确了报文主体必须遵循的具体大小。但随后,报文主体会以极慢的速率发送。由于从技术来说,报文是正确且完整的,因此目标服务器会尝试遵守所有既定的规则。如果攻击者同时建立了大量的 POST 攻击,就会耗尽服务器资源,导致合法请求被拒绝。
暴力破解登录攻击
攻击者使用多种用户名和密码的组合,通常是字典词汇或常用密码,企图未经授权获得应用或网站的访问权限。
此类攻击最常见的抵御方式是暂时锁定多次尝试登录失败的用户帐户。但这会导致受影响的帐户服务遭拒绝。
SSL 重协商攻击
此类攻击利用了不对称的工作负载,通过请求安全连接并随之不断重协商来发动攻击。这种方式会占用服务器的大量 CPU 资源,导致当前的或新增的连接速度降低,甚至服务器停机。
SSL 淹没攻击
攻击者会发送大量 TLS/SSL 连接请求,而客户端无法关闭连接。一旦达到了并发连接数的限制,TLS 终止点就会停止处理流量,合法请求也会包含在内。
SSL Squeeze 攻击
Squeeze 攻击是 SSL 重协商攻击的一个变体,此类攻击会不断尝试重协商连接握手,迫使服务器解密“垃圾”请求。
典型的重协商攻击需要多路 SSL 握手,在服务器上禁用重协商即可抵御。但 SSL Squeeze 攻击则会为每个请求打开新的 TCP 连接,最终耗尽 I/O。
DNS 淹没攻击
DNS 服务器依赖于 UDP 协议进行域名解析,但却是无连接的(与 TCP 查询不同)。由于无需确认已收到 UDP 数据包,因此可以轻松完成伪装。
此类脚本化的僵尸网络攻击企图压垮服务器资源,最终影响到 DNS 服务器定向合法请求的能力。此类攻击可能是多个来源的有效 UDP 流量,也可能是随机的数据包数据。这使得此类攻击能够绕过 IP 过滤等最基本的 DDoS 防护技术。
NXDomain 淹没攻击
DNS 淹没攻击的一个变体,攻击者向 DNS 服务器大量请求无效或不存在的记录。随后,DNS 服务器的资源就会消耗在查找不存在的内容中,而无法响应合法的请求。最终 DNS 服务器的缓存会被不合法的请求占满,导致客户端无法查找到要使用的服务器。
DNS 放大攻击
DNS 放大攻击是一类反射型攻击,通过操纵易受攻击的面向互联网的DNS 服务器,导致包含大量 UDP 数据包的互联网资源涌入其中。
攻击者在受其控制的僵尸网络中编写脚本,使其向任意的公开 DNS 解析程序发送规模较小但经过特别构建的 DNS 查询。这会诱使 DNS 解析程序产生不成比例的响应。数据包标头还包含了伪造的 IP 地址,该 IP 地址指向 DDoS 目标。在收到查询后,开放的 DNS 解析程序会向攻击目标发送大量响应,最终耗尽互联网资源带宽。
SYN 淹没攻击
每次客户端-服务器间的对话都始于一个标准的三次握手。即首先是客户端发送一个 SYN 数据包,随后服务器响应一个 SYN-ACK 数据包,最后通过一个客户端 ACK 数据包建立 TCP 连接。在 SYN淹没攻击中,客户端会发送大量 SYN 请求,而从不响应服务器发来的 SYN-ACK 报文。
这使得服务器的连接处于开放状态,等待客户端的响应。这些半开放的连接每一个都会被 TCP 连接表追踪,最终占满连接表并阻止其他合法或不合法的尝试连接。
Memcached 放大攻击
放大攻击是一类反射型攻击,利用了正常操作中向服务发送小欺骗数据包的能力,这些服务作为其的一部分,将以更大的响应返回目标。
Memcached 是一套数据库缓存系统,可用于网站和网络加速。攻击者可以向易受攻击且面向互联网的 Memcached 服务器发送伪造的请求,后者又会随之向目标发送大量流量,可能造成其资源枯竭。当目标的基础架构不堪重负时,就无法处理新的请求,正常的流量也无法访问互联网资源,从而导致服务遭拒绝。
其它类型的放大攻击还包括 NTP、SSDP、SNMPv2、CharGEN、QOTD 等。
UDP 淹没攻击
UDP 是各种 IP 网络中通用的一种标准通信协议。由于 UDP 数据包不存在状态,因此相较于 TCP,它们所需的错误检查和验证更少。UDP 淹没攻击企图使每个可访问服务器端口上的连接表饱和,进而导致服务器请求超过负荷。
连接表被此类请求占满就会无法处理合法请求。
IP 碎片攻击
IP 碎片攻击是 IP 协议设计之初就确立的一套流程,能够将数据包或数据报拆分为更小的碎片,使其能够顺利通过最大传输单元 (MTU) 限制较低的网络链路。主机或状态性的安全设备接收到碎片后会将其重组成原始的数据报。数据包或数据报的 IP 报头会告知接收器如何重组数据报。
此类攻击具有多种形式,但所有变体都会试图利用碎片来压垮目标服务器或网络节点。
什么样的防御措施能够发挥最大作用?
在考虑什么样的保护模式最适合您的业务时,首先要根据应用的托管位置,是在云端、本地还是两者的结合,思考是否易于部署。此外,还要考虑内部专家的数量和您所偏好的亲身管理程度。当然,随着时间的推移,应用程序基础结构保护的需求也会发生变化,因此解决方案也需要与时俱进。
本地
通过自有运营的设备直接管控 DDoS 防控措施,但仍然容易受到大规模攻击导致带宽容量超过负荷。
云端部署
所有流量都会经过 F5 Silverline,拥有全天候的专家级监控抵御攻击。
混合
对于抵御措施的时间和技术仍保留控制权,但可以享受 F5 Silverline 对于大规模、耗带宽攻击的自动化按需支援。
DDoS 解决方案
F5 提供的无缝衔接、高度灵活、易于部署的解决方案,无论受到何种类型的 DDoS 攻击都可实现快速响应。
保护应用程序基础结构
保护网络、DNS 和 TLS
您的网络、DNS 和 TLS 通常不视为应用程序的一部分。但是针对这些层级的 DoS 或 DDoS 攻击能够致使您的网络、应用程序或其他配套基础结构无法访问。我们的 DDoS 防护解决方案将确保针对这些层的攻击不会造成性能下降或故障停机。
DDoS 防护产品
F5 DDoS 产品套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。
DDoS 混合防护程序 (DHD) >
一种硬件解决方案,在防御混合网络攻击和复杂应用程序攻击的同时,能够启用完全 SSL 解密、防 Bot 功能和高级检测方法,所有这些都可在一台设备中实现。DDoS 混合防护程序也提供了一种面向自动化上游信令的选择,可在恶意流量到达数据中心之前对其进行清理。
Silverline DDoS 防护 >
Silverline DDoS 防护是一种完全托管、基于云的防护服务,能够实时检测并缓解大规模、SSL/TLS 或以应用程序为目标的攻击。
管理您的解决方案
F5 提供数种选择,用于管理您的 DDoS 解决方案。多种因素(例如应用程序托管位置和您所拥有之内部技术专家的数量)能够帮助您作出正确决策,确定适合贵组织的正确选择。
完全托管
基于云的清理服务,由 F5 DDoS 专家管理。这项服务会检测和缓解针对第 3-7 层的大范围攻击,将干净的流量返回至您的站点或应用程序。
自托管
一种面向本地或并置数据中心的设备,让您能够直接掌控 DDoS 攻击缓解措施。部署为混合解决方案,并利用我们基于云的清理服务,防范带宽饱和容量攻击。
部署您的解决方案
多种部署选项中提供 F5 DDoS 解决方案,因此要缓解 DDoS 攻击并不需要进行架构变更。
需要帮助部署您的 F5 解决方案?
联系 F5:1-888-882-7535
基于云:始终启用
一种托管服务,通过 Silverline 云清理服务持续处理所有流量,仅将干净的流量返回到您的站点或应用程序。
基于云:按需
一种基于云的托管服务,针对您的系统进行预配置,并处于待机模式,随时可以运行。面临攻击时可以启动缓解措施。
本地:内联
将本地 DDoS 缓解设备内联部署至所有流量,使其经过定位能够立即分析异常流量并在必要时进行拦截。
本地:路径外
在流量路径之外部署 DDoS 缓解设备,以确保流量遍历尽可能少的设备。当识别出攻击时,您的设备会向路由器发出信号,以将流量重新路由通过 DDoS 缓解设备,从而防止出现任何服务降级现象。当攻击减弱时,流量流将返回至其正常路径。
混合
添加我们的云清理服务至您的本地部署,以应对带宽饱和容量攻击。本地解决方案能够自动向我们的完全托管、按需、基于云的清理服务发出信号,以接管缓解措施。
购买方式
订阅
确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。
永久
确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。
企业许可协议 (ELA)
ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。
保护应用程序
第 7 层攻击在当今的威胁格局中愈发常见。攻击者越来越多地利用针对应用程序计算能力的低速 (low-and-slow) 攻击,降低应用程序性能或使应用程序崩溃。这些攻击会避开网络层面的检测,并且通常专门针对特定的应用程序。
DDoS 防护产品
F5 DDoS 产品套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。
DDoS 混合防护程序 (DHD) >
一种硬件解决方案,在防御混合网络攻击和复杂应用程序攻击的同时,能够启用完全 SSL 解密、防 Bot 功能和高级检测方法,所有这些都可在一台设备中实现。DDoS 混合防护程序也提供了一种面向自动化上游信令的选择,可在恶意流量到达数据中心之前对其进行清理。
Silverline DDoS 防护 >
Silverline DDoS 防护是一种完全托管、基于云的防护服务,能够实时检测并缓解大规模、SSL/TLS 或以应用程序为目标的攻击。
管理您的解决方案
F5 提供数种选择,用于管理您的 DDoS 解决方案。多种因素(例如应用程序托管位置和您所拥有之内部技术专家的数量)能够帮助您作出正确决策,确定适合贵组织的正确选择。
基于云的托管服务
基于云的清理服务,由 F5 DDoS 专家管理。这项服务会检测和缓解针对第 3-7 层的大范围攻击,将干净的流量返回至您的站点或应用程序。
本地硬件
一种面向本地或并置数据中心的设备,让您能够直接掌控 DDoS 攻击缓解措施。
混合
一种本地设备,让您能够直接掌控 DDoS 攻击缓解措施。对于不能由本地解决方案处理的带宽饱和容量攻击,该设备会自动向 F5 完全托管的上游基于云的清理服务发出信号。
部署您的解决方案
多种部署选项中提供 F5 DDoS 解决方案,因此要缓解 DDoS 攻击并不需要进行架构变更。
需要帮助部署您的 F5 解决方案?
联系 F5:1-888-882-7535
基于云:始终启用
一种基于云的托管服务,通过 Silverline 云清理服务持续处理所有流量,仅将干净的流量返回到您的站点或应用程序。
基于云:随时可用
一种基于云的托管服务,针对您的系统进行预配置,并处于待机模式,随时可以运行。面临攻击时可以启动缓解措施。
本地:内联
将本地 DDoS 缓解设备内联部署至所有流量,使其经过定位能够立即分析异常流量并在必要时进行拦截。
本地:路径外
在流量路径之外部署 DDoS缓解设备,以确保流量遍历尽可能少的设备。当识别出攻击时,您的设备会向路由器发出信号,以将流量重新路由通过 DDoS 缓解设备,从而防止出现任何服务降级现象。当攻击减弱时,流量流将返回至其正常路径。
购买方式
订阅
确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。
永久
确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。
企业许可协议 (ELA)
ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。