数据中心网络安全类增值服务解析


1、流量清洗服务

1.1市场分析

传统的攻击都是通过对业务系统的渗透,非法获得信息来完成,而DDoS攻击则是一种可以造成大规模破坏的黑客武器,它通过制造伪造的流量,使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高,从而最终导致系统崩溃,无法提供正常的Internet服务。由于防护手段较少同时发起DDoS攻击也越来越容易,所以DDoS的威胁也在逐步增大,它们的攻击目标不仅仅局限在Web服务器或是网络边界设备等单一的目标,网络本身也渐渐成为DDoS攻击的牺牲品。许多网络基础设施,诸如汇聚层/核心层的路由器和交换机、运营商的域名服务系统(DNS)都不同程度的遭受到了DDoS攻击的侵害。2009年5月,一次大规模DDoS攻击影响了整个Internet的通讯,5月19日部分地区互联网网络故障情况通报。由于暴风影音网站域名解析系统受网络攻击出现故障,致使运营商递归域名解析服务器阻塞,造成用户无法正常上网。

随着各种业务对Internet依赖程度的日益加强,DDoS攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS攻击带来可能。正是由于DDoS攻击非常难于防御,以及其危害严重,所以如何有效的应对DDoS攻击就成为Internet使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DDoS攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击,必须采用专门的机制,对攻击进行有效检测,进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。流量清洗服务可以有效的解决DDoS攻击问题,面对日益严重的DDoS攻击,此服务的市场需求将会越来越大。

根据调查的结果,IDC用户中超过60%的用户对抗DDoS攻击增值服务有兴趣,甚至会购买。由于IDC出口带宽扩容以后,针对某个用户的攻击很难把整个IDC出口带宽占满,用户原来的那种依赖思想会逐渐被削弱。因为同样流量的攻击会把某个用户的服务器打瘫痪,却无法影响到对其它用户服务器的访问。这样一来,抗DDoS的责任更倾斜到单个用户头上。另外,针对应用层的攻击也逐渐增多。同时基于这两个原因,用户购买抗DDoS服务的积极性必将有所提高。

1.2 DDoS 介绍

DDoS概念

DoS:DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思,就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。

DDoS: DDoS是英文Distributed Denial of Service的缩写,即"分布式拒绝服务",是在传统的DOS 攻击基础之上产生的一类攻击方式,这种分布式拒绝服务是黑客利用在已经侵入并已控制的不同的高带宽主机(可能是数百,甚至成千上万台)上安装大量的攻击程序,这些被植入攻击程序的主机称为“僵尸主机”,由它们形成僵尸网络,这个僵尸网络等待来自控制中心的命令,对一个特定目标服务器发送尽可能多的网络访问请求,被攻击服务器产生大量等待的TCP 连接,导致网络中充斥着大量的无用的数据包,造成网络带宽拥塞,使受害主机无法提供正常的网络服务,严重时会造成系统死机。