DDoS攻击愈演愈烈,攻击的规模也越来越大。用户应该如何选择DDoS流量清洗方案、产品,才能避免无谓的设备采购,最终选择适合自己的产品,达到控制成本的同时又能有效防御DDoS攻击。本文阐述了DDoS流量清洗产品选型的七大误区,以及相应的注意事项。
DDoS流量清洗解决方案选择七大误区
误区一:选择防火墙或入侵检测IPS来清洗DDoS
分析:防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统,本身就是DDoS的攻击目标,在新建连接与状态连接耗尽时成为瓶颈。
DDoS最佳防护实践就是:流量清洗中心加上运营商BGP路由调度控制;
误区二:选择清洗设备的性能远高于自己的出口带宽
分析:有些客户网络出口带宽只有100M,厂商却推荐选择1G甚至4G清洗设备。
标准的云清洗说法是本地清洗应用型DDoS攻击,云端清洗流量型DDoS攻击。
误区三:选择清洗系统时只看设备硬件指标,忽视厂家攻击清洗技术专业能力
分析:厂家缺乏有经验和技能的清洗专家,不具备与上游运营商实时沟通,快速检测攻击与攻击应急灾备能力。客户只是买到一个硬件盒子,平时没人看,急用现调试。
DDoS清洗的最佳实践理念是“三分产品技术,七分设计服务”。
误区四:选择清洗设备时只看端口吞吐量性能,忽视小包处理能力与正则匹配下的处理性能。
分析:清洗设备标称的处理性能指标通常是实验室测试标准,在现网实际小包攻击与正则匹配下性能剧降,10G性能指标的清洗设备现网小包清洗能力不过4G左右。
误区五:选择清洗系统只看硬件清洗异常流量性能,忽视清洗后正常业务流量的通过性能。
分析:清洗设备没有可预期的正常流量通过能力,当清洗DDoS系统的硬件资源被异常流量占用时,正常流量通过能力剧降,系统无法预设与分配处理异常流量与正常流量的硬件资源配置。
误区六:选择DDoS云清洗服务同时希望提供加速等一揽子其他功能。
分析:应用加速与流量清洗在同一个数据中心出口下处理时相互干扰。在他人被攻击时,自己易受影响。
应用加速与流量清洗在小规模攻击的情况下同时提供比较现实。
误区七:选择云清洗服务商的清洗位置过于靠近下游,且不具备BGP路由调度控制能力。
分析:大规模DDoS攻击发生时,整个网络上下游均出现故障,客户最大的问题是不知道电话打给谁去解决。
云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力,才能带给客户网络服务可用性一片合泰云天。
阅读(2074) | 评论(0) | 转发(0) |