大规模DDOS防护解决方案

自Internet诞生以来,恶意行为者已将分布式拒绝服务(DDoS)攻击作为一种攻击形式,作为恶作剧,蓄意妨害竞争对手或对意见相左者进行报复的抗议手段. DDoS攻击以压倒性的流量淹没网站,网络和云,导致故障或服务中断,从而拒绝那些依赖网络开展日常生产生活的合法用户来访问网络。 据估计2017年企业被DDoS攻击而造成的平均成本超过250万美元。

挑战

如今几乎任何人都可以以不到100美元的成本轻松发起导致严重后果的分布式拒绝服务(DDoS)攻击-无需任何程序开发经验。

DDOS租用服务从技术和成本方面都降低了犯罪分子展开攻击的门槛。 随着物联网(IoT)的兴起,由于这些海量互联的设备提供了巨大的数量规模以及缺乏基本的内置安全性,它们已成为黑客最喜欢的目标。 2016年Mirai IoT僵尸网络控制了全球近100,000个已连接设备;这些设备被用来对域名系统(DNS)服务提供商Dyn发起DDoS攻击,峰值容量为每秒1.2 Tbps,导致超过四个小时的服务中断和停机时间。 Mirai仅仅是个开始;从那时以后又出现了诸如JenX,Hajime,Satori和Reaper之类的木马变体,使攻击变得越来越复杂,越来越难以防御。

租用DDoS服务的可用性不断增长,以及数十亿激增的不安全的IoT设备,导致DDoS攻击显著增加。根据Corero最新的DDoS趋势和分析报告,企业组织在2017年第三季度每月平均经历237次DDoS攻击尝试,与上一季度相比增加了35%,相当于每天被进行8次攻击尝试。 而现在向5G网络的演进只会通过增加可用带宽,为从受感染的设备产生攻击流量提供更强大的管道,而使问题更加复杂。

随着DDoS攻击在频率,规模和复杂程度方面的增长,带外流量清洗中心和手动干预等传统防御措施已变得效果不佳且成本高昂。在大规模攻击的情况下,将可疑流量重定向到清洗中心会增加延迟,并带来巨大的财务负担,因为流量清洗成本与数据流量大小正相关。 而且这种传统方法还需要人工分析和人工干预,这给补救过程增加了更多的延迟和成本。使用这些方法,在检测到攻击和缓解攻击之间可能需要长达30分钟的时间,这在DDoS攻击可能在几分钟之内就使网站瘫痪的时代是无法接受的。

在一个永远在线的世界中,停机对于任何企业都是一个大问题,运营商和企业必须认真地重新审视其现有DDoS保护策略,并考虑采用新技术以更低的成本提供更快,更有效的保护。 IP网络应作为防护大规模DDOS攻击的第一道防线,成为整个防护解决方案里不可或缺的一部分. 同时遥测,机器分析和网络可编程将使检测攻击和攻击防护过程更加智能,自动和灵活。

Juniper 和Corero DDoS 防护解决方案

Juniper和Corero 合作开发了一种DDoS保护联合解决方案,该解决方案可以通过快速识别,精确判断,以及在网络关键位置的自动防护以及持续监控来自我修复网络(图1)。

有效DDoS保护的最佳实践应尽可能靠近攻击源实施防护,通常在网络边缘。因此三个常见的DDoS防护位置是运营商对接点,数据中心边缘和用户边缘。

Juniper-Corero网络安全DDoS联合解决方案是高效,自动化,并以比其他可用DDoS解决方案更低的成本可扩展到多TB容量。 它运行在网络边缘运行, 采用以下技术来检测和防护DDoS攻击(见图2):

部署在网络边缘的Juniper MX系列路由平台可通过流量采样镜像(包括报文头和有效负载)来监控入口流量,并可根据攻击动态扩展以适应威胁的规模。
该系统使用基于规则和机器分析的组合来检查数据源中的每个数据包,以从而快速准确地检测任何DDoS攻击流量。
在几秒钟内,TDD就将识别任何攻击并自动生成灵活的访问控制列表,以通过MX系列路由器阻断攻击。
TDD通过NETCONF协议自动配置MX系列路由器,以部署短期存活的临时配置,该临时配置应用访问控制列表以在最接近攻击源的入口点阻止DDoS数据包。但允许正常业务流量流向其预期目的地,而不会降低任何转发性能。
MX系列路由器上的遥测功能将转发/阻止的流量统计信息转发到Corero SmartWall TDD。
SmartWall TDD SecureWatch Analytics系统可以在攻击发生之前,之中和之后全面了解网络流量。这个由Splunk驱动的应用程序为运营团队提供了有关攻击防护效果的摘要和其他详细情报。

该过程将贯穿DDOS攻击的整个生命周期,直到镜像样本表明流量入口点不再受到攻击为止,此时SmartWall TDD将删除MX系列路由器上的访问控制列表并恢复正常运行状态。 流量采样镜像和遥测仍继续从MX系列路由器流向Corero的TDD,以确保流量恢复正常且同时监视下一次攻击。

该运行模式是完全自动化的,从而确保业务运营受到完全的保护,并且始终向运营团队提供业务可见性。

功能和优势

Juniper-Corero DDoS联合解决方案将数据包级别流量检测与基于基础设施的防护功能相结合,可以对前所未有的数十T规模DDOS攻击进行全自动地实时防护,同时大大降低成本。

降低DDOS防护成本

利用MX系列路由平台强大灵活的访问控制功能,可以分布式部署在网络边缘直接丢弃恶意流量。 而不是将所有受到攻击的业务流量重定向到带外的集中式流量清洗中心来清洗,这样会增加延迟和成本. Juniper-Corero解决方案帮助运营商和企业大幅减少了与攻击流量大小正相关的DDoS防护成本,避免了昂贵的容量升级。 此外超过95%的联动保护是全自动,无需操作员或分析人员干预的, 与传统的依靠人工频繁干预的解决方案相比大大降低了总体拥有成本。

快速响应提高用户体验

自动化意味着DDoS攻击可以在几秒钟内被识别和阻止,这相对于传统方法是巨大进步,后者很大程度上依赖于人工干预,可能需要30分钟甚至更长时间。 速度决定结果,通过有选择地阻止攻击数据包同时保留合法流量继续转发,Juniper-Corero联合解决方案可确保即使在攻击高峰期间也不会影响客户业务。

流量可见性,资源消耗比和防护有效性增强

Juniper-Corero解决方案可在数据包级别进行监控。与传统的基于flow的检测方法相比,基于数据包的检测提高了有效性,并使管理员不仅可以查看报头信息,还可以查看载荷数据。 另外,与IP Netflow输出协议 (IPFIX) 相比,由于路由器不必聚合汇总大量数据,采样镜像对路由器资源只带来很小的处理开销。 最后联合解决方案不需要拆装; 它与分层DDoS防御模型中的现有解决方案无缝协作,其中网络外围的IP边缘路由器是第一道防线,减轻了批量攻击流量的负担,并使用集中的清理资源来应对更复杂的应用层攻击。

TB级扩展性

在无需通过网络回传给清洗中心DDoS流量的架构下, Corero SmartWall TDD最多可扩展到40 Tbps的线速DDOS防护能力,结合MX系列路由平台最高80 Tbps的数据包转发的能力,该联合解决方案是当今市场可买到的提供最高可扩展性的DDoS防护系统。

总结 -低成本大规模实时DDoS防护方案

在多云,物联网和5G时代,网络攻击不断演进, 尤其是DDoS攻击的强度,频率和复杂性不断增加,运营商和企业都需要探索新解决方案以提供更快速,有效的保护来增强其防御能力。

IP基础网络应该成为现代安全解决方案里抵御大规模攻击的第一道防线。 通过遥测,机器学习和网络可编程使检测和防护过程更加智能, 自动和灵活。

Juniper-Corero DDoS联合解决方案将数据包级别流量检测与基于基础设施的防护功能相结合,可以对前所未有的数十T规模DDOS攻击进行全自动地实时防护,同时大大降低成本。