選擇DDoS 緩解網(wǎng)絡(luò)的 5 個關(guān)鍵考慮因素
DDoS緩解服務(wù)不僅僅是技術(shù)?或?服務(wù)保證。底層網(wǎng)絡(luò)的質(zhì)量和彈性是你的盔甲中的一個關(guān)鍵組成部分,必須仔細(xì)評估它才能確定它在多大程度上保護(hù)你免受復(fù)雜的DDoS 攻擊。
以下是評估DDoS清理網(wǎng)絡(luò)時的五個關(guān)鍵考慮因素。
海量容量
在防御大規(guī)模DDoS攻擊方面,規(guī)模很重要。在過去十年中,DDoS 攻擊量一直在穩(wěn)步增長,并且每年都達(dá)到新的攻擊高度(和規(guī)模)。
迄今為止,經(jīng)過驗證的最大DDoS攻擊是針對 GitHub 的基于memcached的攻擊。這種攻擊達(dá)到了大約每秒 1.3 太比特 (Tbps) 和每秒 1.26 億數(shù)據(jù)包 (PPS) 的峰值。
為了抵御這樣的攻擊,清理網(wǎng)絡(luò)不僅必須足以“覆蓋”攻擊,而且還必須有足夠的溢出容量來容納網(wǎng)絡(luò)上的其他客戶和可能同時發(fā)生的其他攻擊。一個好的經(jīng)驗法則是尋找至少是迄今為止觀察到的最大攻擊容量的 2-3 倍的緩解網(wǎng)絡(luò)。
專用容量
然而,僅僅擁有大量容量是不夠的。將此容量專用于DDoS清理也很重要。許多安全提供商——尤其是那些采用“邊緣”安全方法的提供商——也依賴他們的內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN) 能力來緩解 DDoS。
然而,問題是大部分流量已經(jīng)在日常使用。CDN提供商不喜歡為未使用的容量付費,因此 CDN 帶寬利用率通常會達(dá)到 60-70%,并且經(jīng)常會達(dá)到 80% 或更高。這為大規(guī)模 DDoS 攻擊可能導(dǎo)致的“溢出”流量留下了很小的空間。
因此,更謹(jǐn)慎的做法是專注于容量專用于DDoS清洗并與 CDN、WAF或負(fù)載平衡等其他服務(wù)隔離的網(wǎng)絡(luò)。
全球足跡
組織部署DDoS緩解解決方案以確保其服務(wù)的可用性。可用性的一個日益重要的方面是響應(yīng)速度。也就是說,問題不僅在于服務(wù)是否可用,還在于它的響應(yīng)速度有多快?
基于云的DDoS保護(hù)服務(wù)通過服務(wù)提供商的清洗中心路由客戶流量,刪除任何惡意流量,然后將干凈的流量轉(zhuǎn)發(fā)到客戶的服務(wù)器來運行。結(jié)果,這個過程不可避免地給用戶通信增加了一定的延遲。
影響延遲的關(guān)鍵因素之一是與主機(jī)的距離。因此,為了最大程度地減少延遲,洗滌中心盡可能靠近客戶非常重要。這只能通過全球分布式網(wǎng)絡(luò)來實現(xiàn),在戰(zhàn)略通信樞紐部署大量洗滌中心,在那里可以大規(guī)模接入高速光纖連接。
因此,在檢查DDoS保護(hù)網(wǎng)絡(luò)時,不僅要查看容量數(shù)據(jù),還要查看清洗中心的數(shù)量及其分布。
任播路由
影響響應(yīng)時間的一個關(guān)鍵因素是網(wǎng)絡(luò)本身的質(zhì)量及其后端路由機(jī)制。為了確保最大速度和彈性,現(xiàn)代安全網(wǎng)絡(luò)基于基于任播的路由。
基于任播的路由在IP地址和網(wǎng)絡(luò)節(jié)點之間建立了一對多的關(guān)系(即,有多個網(wǎng)絡(luò)節(jié)點具有相同的IP 地址)。當(dāng)請求被發(fā)送到網(wǎng)絡(luò)時,路由機(jī)制應(yīng)用最小成本路由原則來確定哪個網(wǎng)絡(luò)節(jié)點是最佳目的地。
可以根據(jù)跳數(shù)、距離、延遲或路徑成本考慮來選擇路由路徑。因此,來自任何給定點的流量通常會被路由到最近和最快的節(jié)點。
任播有助于提高網(wǎng)絡(luò)內(nèi)流量路由的速度和效率。基于任播路由的DDoS清理網(wǎng)絡(luò)享有這些優(yōu)勢,最終為最終用戶帶來更快的響應(yīng)和更低的延遲。
多重冗余
最后,在選擇DDoS清理網(wǎng)絡(luò)時,務(wù)必始終進(jìn)行備份。DDoS 保護(hù)服務(wù)的重點是確保服務(wù)可用性。因此,您不能讓它(或其中的任何組件)成為單點故障。這意味著安全網(wǎng)絡(luò)中的每個組件都必須使用多重冗余進(jìn)行備份。
這不僅包括多個清理中心和溢出容量,還需要ISP鏈路、路由器、交換機(jī)、負(fù)載平衡器、緩解設(shè)備等方面的冗余。
只有對所有組件都具有完全多重冗余的網(wǎng)絡(luò)才能始終確保完全的服務(wù)可用性,并保證您的DDoS緩解服務(wù)不會成為其自身的單點故障。
