可用性就是一切

可用性对于企业意味着什么？

对于业务主要依赖于网络和网站的组织而言，分布式拒绝服务攻击（DDoS攻击）会带来巨大的风险，关系到每一个人。网上银行、零售、旅行服务、医疗服务门户网站、电信、B2B电子商务，几乎每一种业务模式都包含重要的在线交易组件，有时甚至全部在线上进行。

当用户想要使用在线服务时如果突然无法访问，会感到非常失望。如果数千甚至数百万客户同时遭受一次DDoS攻击，它对组织造成的潜在威胁简直不可想象。维护数字平台、网络、服务和应用的可用性不仅是一个安全问题，更是一个业务风险和可持续性问题。

网络出现大面积故障并不需要太多诱因。2016年11月，一家主流互联网基础设施公司偶然发生的误配置问题导致看多家大型运营商运行中断。虽然这次“路径泄露 ”只是非恶意的偶然事件，但对于运营商及其客户而言，其导致的90分钟网络无法访问依然是难以接受的。

蓄意攻击可能造成更具毁灭性的后果。与旨在泄露数据值而专门设计的隐秘性高级攻击或数据泄露攻击不同，成功发起DDoS攻击产生的后果是立即可见的，表现为性能降低、间歇性运行中断、一连串客户投诉，以及网络突然完全无法访问等情况。无论动机如何，其目标都是让服务中断。

攻击威胁是否已超过保护功能？

只要存在电子商务，就存在DDoS攻击。拥有大量在线业务的成熟企业总是采取各种措施确保可用性。然而，几年前部署的防御措施是否足以抵御如今的攻击？DDoS威胁已经变为更加复杂的动态多向量攻击。攻击者利用多种攻击方法，以便在大部分方法引起防御注意力的同时至少有一种方法能够攻击成功。这些攻击类型包括：

容量耗尽攻击：这类攻击消耗大量带宽，本质上是“充满”网络管道和路由器接口。

TCP状态表耗尽攻击：这类攻击会耗尽防火墙、负载平衡器和网络服务器等互联网基础设施设备中所有可用的传输控制协议（TCP）连接。

应用层攻击：这类 “低而缓”的攻击企图逐渐消耗应用服务器中的资源。

不仅如此，由于廉价的DIY式攻击工具和DDoS租用服务具有随时可用性，如今的攻击类型让威胁发起人无需太多经验就能够很容易地发起攻击。物联网（IoT）设备大量出现，由于安全措施不完善，这些设备正在被僵尸网络占据，并被打造为发起多向量DDoS攻击的武器，威胁趋势已变得愈发严峻。

对风险和防御措施进行评估

由于多向量攻击日渐增多，安全专家一致认为，降低DDoS攻击风险需要一种利用多种同步缓解方法的深度防御方法或分层防御方法。

防火墙是专为预防非法数据访问而设计的策略执行解决方案，长期以来一直是抵御攻击的第一道防线。可惜的是，如果遇到可用性威胁（例如如今的多向量DDoS攻击），防火墙就不是十分有效了。现代防火墙可执行状态包检查，即针对通过防火墙的所有连接建立记录，可确定状态包是新连接的开始、现有连接的组成部分还是无效链接。但作为状态型内联设备，防火墙会增大受攻击面，并且可能成为DDoS攻击目标，其内在功能无法检测或阻止DDoS攻击，因为攻击向量使用开放的端口和协议。因此，由于连接跟踪容量被耗尽，防火墙容易成为DDoS攻击的首个目标。由于是内联设备，防火墙还会提高网络延迟。最终，由于是状态型设备，防火墙容易遭受传输控制协议同步（TCP SYN）洪水攻击和欺骗性网络控制消息协议（ICMP）洪水攻击。

智能DDoS缓解解决方案（IDMS）专为抵御DDoS攻击而打造，可在本地部署于防火墙之前。该解决方案可抵御大部分攻击，实际上，80% DDoS攻击的攻击规模不超过1GB。然而，该解决方案不足以阻止日渐增多的大规模攻击企图耗尽互联网带宽。这些规模较大的攻击最好在云端进行消解。如今，抵御攻击的最佳做法是将本地解决方案和云端解决方案集成在一起。

如今的DDoS威胁不同于十年前或者五年前。认识到可用性中断带来的业务风险之后，用户非常必要通过风险分析来评估漏洞，了解各种情况下DDoS攻击的影响，并确定需要采取的措施以最大程度降低威胁。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友