在过去的十年中,互联网管道变得越来越粗。我们已经从昂贵的 1 Mbps 链路转变为 1 Gbps 链路,这些链路成本相对较低。大多数企业至少有一个 1 Gbps 的 ISP 链接到他们的数据中心,许多企业在每个数据中心都有多个 1 Gbps 链接。过去,QoS、数据包整形、应用程序优先级等曾经很重要,但现在我们只需投入更多容量来解决任何潜在的性能问题。
但是,在保护您的基础设施免受DDoS 攻击时,1 Gbps、10Gbps 甚至 40Gbps 的容量是不够的。这是因为在 2019 年,即使是相对较小的 DDoS 攻击也只有几 Gbps 的大小,而较大的则大于 1 Tbps。
出于这个原因,当安全专业人员设计 DDoS 缓解解决方案时,关键考虑因素之一是DDoS 缓解服务的容量。也就是说,要弄清楚哪种 DDoS 缓解服务实际上有能力抵御最大规模的 DDoS 攻击并不容易。这是因为有一系列 DDoS 缓解解决方案可供选择,而容量是大多数供应商可以调整的参数,以使他们的解决方案看起来与容量齐平。
让我们检查一些可用的解决方案,并了解它们公布的容量与阻止大带宽 DDoS 攻击的实际能力之间的差异。
本地 DDoS 缓解设备****
首先,要警惕任何也被定位为 DDoS 缓解设备的路由器、交换机或网络防火墙。它可能无法承受多 Gbps DDoS 攻击。
有一些公司专门制造 DDoS 缓解设备。这些设备通常部署在网络边缘,尽可能靠近 ISP 链路。其中许多设备可以缓解 10 Gbps 的攻击,但是,宣传的缓解能力通常基于一个特定的攻击向量,所有攻击数据包都具有特定的大小。
无论是哪家供应商,都不要购买 20/40/60 Gbps 的缓解能力,而无需测试设备抵御多向量攻击的能力、真实世界的性能以及它在给定吞吐量下通过干净流量的能力,同时还减轻大规模攻击。不要忘记,pps 有时比 bps 更重要,许多设备会首先达到其 pps 限制。还要确保深入研究攻击缓解设备的内部结构,特别是如果使用相同的 CPU 在通过正常流量的同时缓解攻击。最有效的设备将攻击“平面”与干净的流量“平面”隔离开来,从而确保在不影响正常流量的情况下缓解攻击。
最后,请记住,如果您的 ISP 链路容量为 1 Gbps,并且您拥有能够缓解 10Gbps 的 DDoS 缓解设备,则您无法抵御 10Gbps 攻击。这是因为,甚至在本地设备有机会“清理”攻击流量之前,攻击就会填满你的管道。
基于云的洗涤中心****
第二种广泛部署的 DDoS 缓解解决方案是基于云的清理解决方案。在这里,您无需在数据中心安装 DDoS 缓解设备。相反,您使用部署在云中的 DDoS 缓解服务。使用这种类型的解决方案,您可以连续地从数据中心向云服务发送遥测数据,当出现与 DDoS 攻击相对应的峰值时,您可以将流量“转移”到云服务。
有少数供应商提供这种类型的解决方案,但同样,当谈到云 DDoS 服务的容量时,细节就是魔鬼。一些供应商只是简单地添加他们在所有数据中心拥有的所有 ISP 链路的“净”容量。这是一种误导,因为他们可能会将正常的每日清洁流量添加到广告容量中——因此请询问可用的攻击缓解能力,不包括正常的清洁流量。
此外,提供商可能在不同的清洗中心具有不同的容量,并且所有清洗中心的净容量可能不能很好地反映清洗中心在您感兴趣的地理位置(您的数据中心所在的位置)中的攻击缓解能力。
另一个要询问的项目是 Anycast 功能,因为这使提供商能够减轻靠近源的攻击。换句话说,如果 100 Gbps 的攻击来自中国,它将在亚太地区的清洗中心得到缓解。
最后,重要的是,DDoS 缓解提供商必须为干净的流量提供完全独立的数据路径,并且不会将干净的客户流量与攻击流量混合在一起。
内容分发网络****
第三种 DDoS 缓解架构基于利用内容分发网络 (CDN) 来分散大型 DDoS 攻击。然而,当谈到 CDN 的 DDoS 缓解能力时,情况再次变得模糊。
大多数 CDN 有 10、100 或 1000 个 PoP,地理分布在全球各地。许多人只是简单地计算所有这些 PoP 的净总容量,并将其宣传为总攻击缓解容量。这有两个主要缺陷。现实世界中的 DDoS 攻击很可能来自有限数量的地理位置,在这种情况下,真正重要的容量是本地 CDN PoP 容量,而不是所有 PoP 的全球容量。
其次,大多数 CDN 在所有 CDN 节点上传递大量正常客户流量,因此如果 CDN 服务声称其攻击缓解能力为 40 Tbps,则可能计入 30 Tbps 正常流量。要问的问题是总的未使用容量是多少,无论是在净总量水平上还是在地理区域内。
基于 ISP 提供商的 DDoS 缓解****
许多 ISP 提供商提供 DDoS 缓解作为 ISP 管道的附加组件。这听起来像是一个自然的选择,因为他们甚至在到达您的基础设施之前就看到所有流量都进入您的数据中心,因此最好在 ISP 的基础设施内阻止攻击——对吗?
不幸的是,大多数 ISP 在他们自己的基础设施中部署了半充分的 DDoS 缓解措施,并且很可能将攻击流量传递到您的数据中心。事实上,在某些情况下,当您受到攻击时,某些 ISP 实际上可能会黑化您的流量,以保护可能正在使用其基础设施共享部分的其他客户。询问您的 ISP 的问题是,如果他们看到 500Gbps 攻击向您的基础设施发起,并且最大攻击流量是否有任何上限,会发生什么情况。
上面讨论的所有DDoS 缓解解决方案都是有效的并且被广泛部署。我们不认可或推荐其中一个。但是,人们应该对任何供应商所宣传的攻击缓解能力持保留态度。就本地容量、清洁流量和攻击流量之间的区别、任何攻击上限以及任何 SLA 对您的提供商进行测验。此外,仔细检查供应商的任何排除提案。
