DDoS流量清洗解決方案解決7個誤區

   DDoS攻擊愈演愈烈，攻擊的規模也越來越大。用戶應該如何選擇DDoS流量清洗方案、產品，才能避免無謂的設備采購，最終選擇適合自己的產品，達到控制成本的同時又能有效防御DDoS攻擊。本文闡述了DDoS流量清洗產品選型的七大誤區，以及相應的注意事項。

    誤區一：選擇防火牆或入侵檢測IPS來清洗DDoS

    分析：防火牆與入侵檢測IPS通常串行部署在網絡下游的網關位置，是基於狀態檢測的訪問控制系統，本身就是DDoS的攻擊目標，在新建連接與狀態連接耗盡時成為瓶頸。

    DDoS最佳防護實踐就是：流量清洗中心加上運營商BGP路由調度控制；

    誤區二：選擇清洗設備的性能遠高於自己的出口帶寬

    分析：有些客戶網絡出口帶寬只有100M，廠商卻推薦選擇1G甚至4G清洗設備。

    標准的雲清洗說法是本地清洗應用型DDoS攻擊，雲端清洗流量型DDoS攻擊。

    誤區三：選擇清洗系統時只看設備硬件指標，忽視廠家攻擊清洗技術專業能力

    分析：廠家缺乏有經驗和技能的清洗專家，不具備與上游運營商實時溝通，快速檢測攻擊與攻擊應急災備能力。客戶只是買到一個硬件盒子，平時沒人看，急用現調試。

    DDoS清洗的最佳實踐理念是“三分產品技術，七分設計服務”。

    誤區四：選擇清洗設備時只看端口吞吐量性能，忽視小包處理能力與正則匹配下的處理性能。

    分析：清洗設備標稱的處理性能指標通常是實驗室測試標准，在現網實際小包攻擊與正則匹配下性能劇降，10G性能指標的清洗設備現網小包清洗能力不過4G左右。

    誤區五：選擇清洗系統只看硬件清洗異常流量性能，忽視清洗後正常業務流量的通過性能。

    分析：清洗設備沒有可預期的正常流量通過能力，當清洗DDoS系統的硬件資源被異常流量占用時，正常流量通過能力劇降，系統無法預設與分配處理異常流量與正常流量的硬件資源配置。

    誤區六：選擇DDoS雲清洗服務同時希望提供加速等一攬子其他功能。

    分析：應用加速與流量清洗在同一個數據中心出口下處理時相互干擾。在他人被攻擊時，自己易受影響。

    應用加速與流量清洗在小規模攻擊的情況下同時提供比較現實。

    誤區七：選擇雲清洗服務商的清洗位置過於靠近下游，且不具備BGP路由調度控制能力。

    分析：大規模DDoS攻擊發生時，整個網絡上下游均出現故障，客戶最大的問題是不知道電話打給誰去解決。

    雲清洗服務商需要具備自治域AS號進行BGP路由調度控制與DNS全網策略控制能力，才能帶給客戶網絡服務可用性一片合泰雲天。