-團購導航DDoS攻擊愈演愈烈,攻擊的規模也越來越大。使用者應該如何選擇DDoS流量清洗方案、產品,才能避免無謂的裝置採購,最終選擇適合自己的產品,達到控制成本的同時又能有效防禦DDoS攻擊。本文闡述了DDoS流量清洗產品選型的七大誤區,以及相應的注意事項。
誤區一:選擇防火牆或入侵檢測IPS來清洗DDoS分析:防火牆與入侵檢測IPS通常序列部署在網路下游的閘道器位置,是基於狀態檢測的訪問控制系統,本身就是DDoS的攻擊目標,在新建連線與狀態連線耗盡時成為瓶頸。DDoS最佳防護實踐就是:流量清洗中心加上運營商BGP路由排程控制;
誤區二:選擇清洗裝置的效能遠高於自己的出口頻寬分析:有些客戶網路出口頻寬只有100M,廠商卻推薦選擇1G甚至4G清洗裝置。標準的雲清洗說法是本地清洗應用型DDoS攻擊,雲端清洗流量型DDoS攻擊。
誤區三:選擇清洗系統時只看裝置硬體指標,忽視廠家攻擊清洗技術專業能力分析:廠家缺乏有經驗和技能的清洗專家,不具備與上游運營商實時溝通,快速檢測攻擊與攻擊應急災備能力。客戶只是買到一個硬體盒子,平時沒人看,急用現除錯。DDoS清洗的最佳實踐理念是“三分產品技術,七分設計服務”。
誤區四:選擇清洗裝置時只看埠吞吐量效能,忽視小包處理能力與正則匹配下的處理效能。分析:清洗裝置標稱的處理效能指標通常是實驗室測試標準,在現網實際小包攻擊與正則匹配下效能劇降,10G效能指標的清洗裝置現網小包清洗能力不過4G左右。
誤區五:選擇清洗系統只看硬體清洗異常流量效能,忽視清洗後正常業務流量的通過效能。分析:清洗裝置沒有可預期的正常流量通過能力,當清洗DDoS系統的硬體資源被異常流量佔用時,正常流量通過能力劇降,系統無法預設與分配處理異常流量與正常流量的硬體資源配置。
誤區六:選擇DDoS雲清洗服務同時希望提供加速等一攬子其他功能。分析:應用加速與流量清洗在同一個資料中心出口下處理時相互干擾。在他人被攻擊時,自己易受影響。應用加速與流量清洗在小規模攻擊的情況下同時提供比較現實。
誤區七:選擇雲清洗服務商的清洗位置過於靠近下游,且不具備BGP路由排程控制能力。分析:大規模DDoS攻擊發生時,整個網路上下游均出現故障,客戶最大的問題是不知道電話打給誰去解決。
雲清洗服務商需要具備自治域AS號進行BGP路由排程控制與DNS全網策略控制能力,才能帶給客戶網路服務可用性一片合泰雲天。