2014年开始,新一轮分布式拒绝服务攻击(DDoS)频出狠招,导致风波不断。业内有分析师指出,近期DDoS攻击愈演愈烈,规模更大,花样更新。
随着DDoS攻击对公众生活影响的加大,与DDoS攻击相关的报道越来越多,公众对在线信息安全日益重视起来。“棱镜门”事件暴露出美国政府无孔不入地通过互联网收集公众信息的事实,引发公众对在线信息安全的强烈关注。
不仅如此,名为联合威胁研究情报组(JTRIG)的英国特工机构以毒攻毒,采用传统SYN泛洪攻击发起一次针对匿名(Anonymous)、鲁兹安全(LulzSec)等黑客组织的DDoS攻击,更是将互联网安全问题推上了风口浪尖。
2013年末,针对NTP(网络时间协议)的攻击开始激增,并在前不久刷新了针对Spamhaus (国际反垃圾邮件机构)的DDoS攻击的纪录。值得注意的是,以往针对Spamhaus的攻击都采用DNS放大技术,而此次攻击则是基于NTP放大技术的攻击,攻击对象是美国云安全服务提供商CloudFlare公司的一个客户。
从以上几起安全事件不难看出:DDoS攻击方式大多简单、粗暴,而且发起DDoS攻击变得越来越容易,那些对计算机技术并不精通的用户也能发起DNS反射攻击。
为了有效防御DDoS攻击,为网络树起一道防线,用户首先要采用高性能网络硬件产品来保护好网络设备;然后要注意更为复杂的应用层(L7)攻击正在不断增多,应采用深度包检测(DPI)产品的保护。而防火墙、入侵防护系统(IPS)等传统安全解决方案受设备设计架构所限,缺乏足够能力去应对大规模的DDoS攻击。事实上,安全基础设施常常是DDoS攻击的直接目标,如果连网络安全系统都遭受破坏,受其保护的那些服务的安全就更无法保障了。
为帮助客户解决现实的安全问题,应用网络技术提供者A10 Networks推出了A10 Thunder TPS系列威胁防护系统产品。该系列产品可为服务提供商和大型企业提供高性能、全网范围的防护,有效抵御DDoS攻击。在遇到各种泛洪型、协议漏洞型、资源耗尽型和其他复杂应用攻击的情况下,服务依旧完好无损。它还能进一步优化现有安全解决方案,使其有足够能力应对大规模DDoS攻击。
Thunder TPS基于A10 Networks的高扩展性的高级核心操作系统ACOS构架,并采用A10 SSMP(可扩展的对称多处理)系统,利用共享内存架构高效地跟踪网络数据流,为服务提供商、网站运营商及企业提供精确的DDoS攻击防护。Thunder TPS将小巧的外形和出色的性能结合起来,通过大幅度降低电源消耗、机架空间和冷却要求来降低运营成本。
具体来说,Thunder TPS产品系列具有以下几个显着特性:
· 多级DDoS防护,确保服务可用性:对于很多客户来说,服务可用性非常重要,故障停机意味着收入损失。Thunder TPS可有效抵御多种类型的攻击,包括泛洪攻击、协议漏洞型攻击、资源耗尽型攻击和应用层漏洞型攻击。Thunder TPS可及时检测并防御这些攻击,确保服务可用性。此外,借助A10 Networks的aFleX深度数据包检查(DPI)脚本技术,Thunder TPS还可以根据需要对高级应用层(L7)攻击采取定制的应对措施。
· 高可扩展性,可适应不断增加的攻击规模:DDoS攻击不断增加的趋势备受关注,不仅攻击发生的频率不断提高,而且数量和复杂程度也与日俱增。借助从40~160 Gbps的DDoS防御性能(集群部署时性能高达1.2 Tbps),即使遇到极大规模的DDoS攻击,Thunder TPS也能有效应对。所有Thunder TPS系列产品都采用基于高性能的FPGA(现场可编程门阵列)的FTA(弹性流量加速)技术,可在硬件中快速检测并防御30多种常见攻击,而不影响通用CPU的运行。更为复杂的应用层(L7)攻击(如HTTP、SSL、DNS等),则由最新的Intel Xeon CPU来处理。
· 高灵活性,可实现无缝集成:为将安全解决方案轻松集成到各种网络架构中,需要厂商提供灵活、中立的DDoS攻击防御解决方案。借助可支持带内和带外操作的灵活部署模式,以及路由或透明运行模式,Thunder TPS可轻松集成到任何规模的任何网络架构中。通过aXAPI(开放的RESTful API),Thunder TPS可集成到自定义或第三方的检测解决方案中。
