DDoS攻擊的挑戰
DDoS(分散式阻斷服務攻擊)幾乎毀了我40歲的生日,不是生日派對,而是我負責的基礎設施。儘管同事們好心地努力保護我不受影響,但我無法袖手旁觀。
在攻擊期間,我們的清洗中心不僅清除了惡意流量,也不幸過濾掉了合法流量,導致整個系統陷入停擺。這種情況被稱為“清洗盲點”:當你的安全系統對流量的了解比攻擊者還少時,就會發生這種情況。
我們以為自己已經做好了準備,擁有合適的工具和供應商合約,並進行過測試,但現實攻擊的規模和壓力遠超測試環境。我們缺乏的是一種能在異常狀況下仍能識別“正常”情況的架構。
網路架構設計的重要性
你的連接策略就是你的安全策略。不能在脆弱的網路上臨時添加DDoS保護。如果你閱讀過我之前的文章《企業互聯網連接的實踐指南》,你會知道我主張網路主權:擁有自己的AS號碼,擁有自己的IP空間,將邊緣視為戰略資產。
這不僅是為了韌性,也是為了構建能抵禦DDoS攻擊的架構。防禦必須在設計中內建,而不是在攻擊者教訓你該如何防禦之後才補充。
多入口策略的優勢
大多數企業僅使用1-2個上游供應商並稱其為“冗餘”。在大規模攻擊下,這就像面對同一群憤怒的群眾只有兩道門。
分散進入點的數學
在正常情況下,多個入口點可以讓流量從最近的邊緣進入,降低延遲,改善用戶體驗。
但在攻擊期間,一切改變。一個400 Gbps的攻擊不會均勻分布在你的雙路網路上。它會隨著攻擊者的來源和你的運營商的細節一同流動。一個上游會飽和,而另一個幾乎沒受影響。
這時,你的BGP會話可能仍然存活,CoPP保護控制平面,QoS標記協議流量為優先,保持計時器給予90秒的緩衝。但你的客戶和基礎設施卻在掙扎,100G的鏈接充滿垃圾,合法流量丟失。由於BGP正常運行,你的監控顯示一切正常。
當飽和的鏈接終於被黑洞化或手動關閉時,多米諾骨牌效應開始:流量轉移到剩餘的上游,並隨之帶來攻擊。
多入口的優勢
對於擁有6個入口點的企業,同樣的攻擊就不一樣了。流量仍然隨攻擊者來源和運營商細節流動,但現在分散在更多路徑上。
你保持在線,有足夠的空間思考。還有一個不常被討論的優勢:攻擊者討厭複雜性。飽和一條10G鏈接很簡單,但飽和六條地理上分散、橫跨不同供應商和物理路徑的100G鏈接?這是昂貴且技術上具有挑戰性的問題。大多數攻擊者會放棄或改變攻擊策略。
偵測的“三速”問題
你需要三個層次的偵測速度。大多數企業沒有或只有一個。
速度1:戰略可見性(分鐘到小時)
這是Kentik出色的地方。流量遙測、歷史基線、跨越整個拓撲的異常偵測。你可以看到攻擊模式如何演變,幫助在戰略上做出明智的決策。
透過這樣的架構設計和多層次的防禦策略,企業能更有效地抵禦DDoS攻擊,確保網路的持續可用性與穩定性。