1. DDoS云防护解决方案的兴起
越来越多的公司正在部署基于云的DDoS缓解服务。采用基于云的保护有很多原因。随着 DDoS 攻击的不断扩大,可以使入站通信渠道饱和的大容量 DDoS 攻击变得越来越普遍。因此,必须具备大规模的基于云的清洗能力来吸收此类攻击。
此外,基于云的 DDoS 防御按照按需购买的 SaaS 订阅模式进行购买,企业可以快速扩张或收缩,无需提前分配大额资本支出 (CAPEX)。此外,云服务通常比本地设备更容易管理,开销更低,并且不需要专职人员进行管理。
因此,越来越多的公司在云端寻求 DDoS 保护。然而,尽管云 DDoS 防护有诸多好处,但仍有许多关键原因导致企业仍希望使用高防服务器来维护在线业务。
2. 双向交通可见性
根据定义,基于云的服务仅提供企业中入站或入站流量的可见性。他们检查到达源站的流量并清理它识别的恶意流量。尽管这对于大多数类型的 DDoS 攻击来说是完美的,但某些类型的 DDoS 攻击需要能够查看两个流量通道才能被检测和缓解。
需要查看出口流量以进行检测的攻击示例包括:
状态外协议攻击:这些攻击利用协议通信中的弱点(例如 TCP 的三次握手)来创建耗尽服务器资源的“状态外”连接请求。虽然这种类型的攻击(如 SYN 泛洪)只能通过对入口流量的可见性来缓解,但其他类型的状态外 DDoS 攻击(如 ACK 泛洪)也需要对出站通道的可见性。将需要对出口通道的可见性来检测这些 ACK 响应与合法的 SYN/ACK 响应无关,因此可以被阻止。
反射/放大攻击:这些攻击利用某些协议或请求类型的不对称性来发起会耗尽服务器资源或使出站通信通道饱和的攻击。此类攻击的一个示例是大文件下载攻击。在这种情况下,需要对出口通道的可见性来检测来自网络的出站流量峰值。
扫描攻击:这些类型的攻击通常显示出 DDoS 攻击的迹象,因为它们会导致网络中出现大量不正确的连接请求。这种类型的扫描通常会产生大量的错误回复,这可能会阻塞出站通道。同样,需要对出站流量的可见性来识别相对于合法入站流量的错误响应率,以便防御可以断定攻击正在发生。
3. 应用层保护
同样,依靠基于位置的设备对于应用层(L7)的 DDoS 防护和 SSL 处理具有一定的优势。某些类型的应用层 (L7) DDoS 攻击利用协议中的已知弱点生成大量伪造的应用程序请求,从而耗尽服务器资源。此类攻击的示例是低速和慢速攻击或应用层 SYN 泛洪,它们提取 TCP 和 HTTP 连接以持续消耗服务器资源。
同样,虽然云清洗服务可以缓解其中一些攻击,但缓解某些类型的攻击需要应用程序状态感知,即基于云的缓解服务通常不具备这些功能。
4. SSL DDoS 防护
此外,SSL 加密增加了另一层复杂性,因为加密层使得检查流量内容以发现恶意流量变得困难。为了检查流量的内容,基于云的服务必须对所有流量进行解密、检查、删除不良流量并重新加密,然后将其转发给客户来源。
因此,大多数基于云的 DDoS 缓解服务根本不为基于 SSL 的流量提供保护,或者使用完全代理 SSL 卸载,这需要客户将其证书上传到服务提供商的云基础设施。
但是,在云端执行全 SSL 卸载通常是一个繁琐的过程,增加了客户沟通的延迟,侵犯了用户隐私。这就是为什么许多公司犹豫或无法与第三方云服务提供商共享其 SSL 密钥的原因。同样,基于位置的设备(例如香港反防御服务器)的部署允许公司在内部保留 SSL 证书,同时防止 SSL DDoS 的扩散。
5. 分级防护
最后,基于位置的硬件设备与云服务相结合,可以在攻击流量以某种方式受到云端防护的情况下,实现分级防护。使用香港防卫服务器,企业可以直接通过设备配置和管理进行控制。尽管许多公司更喜欢由基于云的托管服务来处理,但一些公司(和一些安全管理员)更喜欢拥有更深层次的控制。
这种控制还允许安全策略的粒度,以便安全策略可以根据企业的需求进行精确调整,并覆盖云未覆盖或未覆盖的攻击向量。最后,这允许安全故障转移,因此如果通过云以某种方式缓解恶意流量,设备将处理它。