選擇DDoS 緩解網(wǎng)絡(luò)的 5 個關(guān)鍵考慮因素
DDoS緩解服務(wù)不僅僅是技術(shù)?或?服務(wù)保證。底層網(wǎng)絡(luò)的質(zhì)量和彈性是你的盔甲中的一個關(guān)鍵組成部分渺尘,必須仔細評估它才能確定它在多大程度上保護你免受復(fù)雜的DDoS 攻擊挫鸽。
以下是評估DDoS清理網(wǎng)絡(luò)時的五個關(guān)鍵考慮因素。
海量容量
在防御大規(guī)模DDoS攻擊方面鸥跟,規(guī)模很重要丢郊。在過去十年中,DDoS 攻擊量一直在穩(wěn)步增長医咨,并且每年都達到新的攻擊高度(和規(guī)模)枫匾。
迄今為止,經(jīng)過驗證的最大DDoS攻擊是針對 GitHub 的基于memcached的攻擊拟淮。這種攻擊達到了大約每秒 1.3 太比特 (Tbps) 和每秒 1.26 億數(shù)據(jù)包 (PPS) 的峰值干茉。
為了抵御這樣的攻擊,清理網(wǎng)絡(luò)不僅必須足以“覆蓋”攻擊很泊,而且還必須有足夠的溢出容量來容納網(wǎng)絡(luò)上的其他客戶和可能同時發(fā)生的其他攻擊角虫。一個好的經(jīng)驗法則是尋找至少是迄今為止觀察到的最大攻擊容量的 2-3 倍的緩解網(wǎng)絡(luò)。
專用容量
然而委造,僅僅擁有大量容量是不夠的上遥。將此容量專用于DDoS清理也很重要。許多安全提供商——尤其是那些采用“邊緣”安全方法的提供商——也依賴他們的內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN) 能力來緩解 DDoS争涌。
然而粉楚,問題是大部分流量已經(jīng)在日常使用。CDN提供商不喜歡為未使用的容量付費,因此 CDN 帶寬利用率通常會達到 60-70%模软,并且經(jīng)常會達到 80% 或更高伟骨。這為大規(guī)模 DDoS 攻擊可能導(dǎo)致的“溢出”流量留下了很小的空間。
因此燃异,更謹慎的做法是專注于容量專用于DDoS清洗并與 CDN携狭、WAF或負載平衡等其他服務(wù)隔離的網(wǎng)絡(luò)。
全球足跡
組織部署DDoS緩解解決方案以確保其服務(wù)的可用性回俐」渫龋可用性的一個日益重要的方面是響應(yīng)速度。也就是說仅颇,問題不僅在于服務(wù)是否可用单默,還在于它的響應(yīng)速度有多快?
基于云的DDoS保護服務(wù)通過服務(wù)提供商的清洗中心路由客戶流量忘瓦,刪除任何惡意流量搁廓,然后將干凈的流量轉(zhuǎn)發(fā)到客戶的服務(wù)器來運行。結(jié)果耕皮,這個過程不可避免地給用戶通信增加了一定的延遲境蜕。
影響延遲的關(guān)鍵因素之一是與主機的距離。因此凌停,為了最大程度地減少延遲粱年,洗滌中心盡可能靠近客戶非常重要。這只能通過全球分布式網(wǎng)絡(luò)來實現(xiàn)罚拟,在戰(zhàn)略通信樞紐部署大量洗滌中心逼泣,在那里可以大規(guī)模接入高速光纖連接。
因此舟舒,在檢查DDoS保護網(wǎng)絡(luò)時拉庶,不僅要查看容量數(shù)據(jù),還要查看清洗中心的數(shù)量及其分布秃励。
任播路由
影響響應(yīng)時間的一個關(guān)鍵因素是網(wǎng)絡(luò)本身的質(zhì)量及其后端路由機制氏仗。為了確保最大速度和彈性,現(xiàn)代安全網(wǎng)絡(luò)基于基于任播的路由夺鲜。
基于任播的路由在IP地址和網(wǎng)絡(luò)節(jié)點之間建立了一對多的關(guān)系(即皆尔,有多個網(wǎng)絡(luò)節(jié)點具有相同的IP 地址)。當(dāng)請求被發(fā)送到網(wǎng)絡(luò)時币励,路由機制應(yīng)用最小成本路由原則來確定哪個網(wǎng)絡(luò)節(jié)點是最佳目的地慷蠕。
可以根據(jù)跳數(shù)、距離食呻、延遲或路徑成本考慮來選擇路由路徑流炕。因此澎现,來自任何給定點的流量通常會被路由到最近和最快的節(jié)點。
任播有助于提高網(wǎng)絡(luò)內(nèi)流量路由的速度和效率每辟〗1瑁基于任播路由的DDoS清理網(wǎng)絡(luò)享有這些優(yōu)勢,最終為最終用戶帶來更快的響應(yīng)和更低的延遲渠欺。
多重冗余
最后妹蔽,在選擇DDoS清理網(wǎng)絡(luò)時,務(wù)必始終進行備份挠将。DDoS 保護服務(wù)的重點是確保服務(wù)可用性胳岂。因此,您不能讓它(或其中的任何組件)成為單點故障舔稀。這意味著安全網(wǎng)絡(luò)中的每個組件都必須使用多重冗余進行備份乳丰。
這不僅包括多個清理中心和溢出容量,還需要ISP鏈路镶蹋、路由器、交換機赏半、負載平衡器贺归、緩解設(shè)備等方面的冗余。
只有對所有組件都具有完全多重冗余的網(wǎng)絡(luò)才能始終確保完全的服務(wù)可用性断箫,并保證您的DDoS緩解服務(wù)不會成為其自身的單點故障拂酣。
