DDoS攻擊愈演愈烈,攻擊的規模也越來越大。用戶應該如何選擇DDoS流量清洗方案、產品,才能避免無謂的設備采購,最終選擇適合自己的產品,達到控制成本的同時又能有效防御DDoS攻擊。本文闡述了DDoS流量清洗產品選型的七大誤區,以及相應的注意事項。
誤區一:選擇防火牆或入侵檢測IPS來清洗DDoS
分析:防火牆與入侵檢測IPS通常串行部署在網絡下游的網關位置,是基於狀態檢測的訪問控制系統,本身就是DDoS的攻擊目標,在新建連接與狀態連接耗盡時成為瓶頸。
DDoS最佳防護實踐就是:流量清洗中心加上運營商BGP路由調度控制;
誤區二:選擇清洗設備的性能遠高於自己的出口帶寬
分析:有些客戶網絡出口帶寬只有100M,廠商卻推薦選擇1G甚至4G清洗設備。
標准的雲清洗說法是本地清洗應用型DDoS攻擊,雲端清洗流量型DDoS攻擊。
誤區三:選擇清洗系統時只看設備硬件指標,忽視廠家攻擊清洗技術專業能力
分析:廠家缺乏有經驗和技能的清洗專家,不具備與上游運營商實時溝通,快速檢測攻擊與攻擊應急災備能力。客戶只是買到一個硬件盒子,平時沒人看,急用現調試。
DDoS清洗的最佳實踐理念是“三分產品技術,七分設計服務”。
誤區四:選擇清洗設備時只看端口吞吐量性能,忽視小包處理能力與正則匹配下的處理性能。
分析:清洗設備標稱的處理性能指標通常是實驗室測試標准,在現網實際小包攻擊與正則匹配下性能劇降,10G性能指標的清洗設備現網小包清洗能力不過4G左右。
誤區五:選擇清洗系統只看硬件清洗異常流量性能,忽視清洗後正常業務流量的通過性能。
分析:清洗設備沒有可預期的正常流量通過能力,當清洗DDoS系統的硬件資源被異常流量占用時,正常流量通過能力劇降,系統無法預設與分配處理異常流量與正常流量的硬件資源配置。
誤區六:選擇DDoS雲清洗服務同時希望提供加速等一攬子其他功能。
分析:應用加速與流量清洗在同一個數據中心出口下處理時相互干擾。在他人被攻擊時,自己易受影響。
應用加速與流量清洗在小規模攻擊的情況下同時提供比較現實。
誤區七:選擇雲清洗服務商的清洗位置過於靠近下游,且不具備BGP路由調度控制能力。
分析:大規模DDoS攻擊發生時,整個網絡上下游均出現故障,客戶最大的問題是不知道電話打給誰去解決。
雲清洗服務商需要具備自治域AS號進行BGP路由調度控制與DNS全網策略控制能力,才能帶給客戶網絡服務可用性一片合泰雲天。