DDoS防御中的带宽容量重要吗

互联网通道在过去十年中变得更加臃肿 。我们已经从 1 Mbps 链路转向 1 Gbps 链路 。大多数企业的数据中心至少有 1 Gbps ISP 链路 。在过去,QoS、数据包精简、应用程序优先级等等曾经是一个大问题,但现在我们只是投入更多的带宽容量来解决任何潜在的性能问题 。然而,在保护您的基础架构免受 DDoS 攻击时,1 Gbps、10 Gbps 甚至 40 Gbps 的容量完全不够 。因为在 2019 年,即使是相对较小的 DDoS 攻击也超过 10Gbps,而较大的 DDoS 攻击大于 100Gbps 。
因此,当安全专业人员设计 DDoS 防御解决方案时,关键考虑因素之一是 DDoS 防御服务的容量 。也就是说,要弄清楚哪个 DDoS 防御服务实际上有能力承受最大的 DDoS 攻击 。让我们来看看一些可用的解决方案,并了解供应商声称的容量与阻止大规模 DDoS 攻击的实际能力之间的差异 。
一、内部部署 DDoS 防御设备
【DDoS防御中的带宽容量重要吗】首先,要警惕任何路由器、交换机或网络防火墙,它也被定位为 DDoS 防御设备 。它们有可能无法承受超过 10Gbps DDoS 攻击 。有少数公司制造专用的 DDoS 防御设备 。这些设备通常部署在网络边缘,尽可能靠近 ISP 链路 。这些设备中的许多设备可以防御 10 Gbps 的攻击,但是,广告的防御容量通常基于一个特定的攻击向量,所有攻击数据包都具有特定的大小 。
无论供应商如何,您都需要测试设备承受多向量攻击的能力,在真实世界中的性能表现以及在给定吞吐量下通过干净流量的能力 。防御大规模攻击,pps 有时比 bps 更重要,许多设备将首先达到他们的 pps 限制 。您还要确保深入研究攻击防御设备的内部,特别是如果在传递正常流量时使用相同的 CPU 来防御攻击 。最有效的设备将攻击流量与正常流量隔离开来,从而确保攻击防御而不影响正常流量 。
最后,请记住,如果您的 ISP 链路容量为 1 Gbps,并且您有一个能够防御 10Gbps 的 DDoS 防御设备,则不会受到 10Gbps 攻击的保护 。这是因为即使在内部部署设备有机会 “清理” 攻击流量之前,攻击也会填满您的通道 。
二、基于云的清洗中心
广泛部署的第二种 DDoS 防御解决方案是基于云的清理解决方案,例如天下数据高防IP 。在这里,您不需要在数据中心安装 DDoS 防御设备 。相反,您使用部署在云中的 DDoS 防御服务 。使用此类解决方案,您可以连续地从数据中心向云服务发送遥测,当出现与 DDoS 攻击相对应的峰值时,您会将流量 “转移” 到云服务 。
有一些供应商只是添加他们在所有数据中心拥有的所有 ISP 链路的净容量 。这是误导性的,因为他们可能会将正常的每日清洁流量添加到广告容量中 。因此,请询问他们排除正常的清洁流量以后可用的攻击防御容量 。
有一些供应商提供这种类型的解决方案,但同样,在涉及云 DDoS 服务的容量时,魔鬼就是细节 。一些供应商只是添加他们在所有数据中心拥有的所有 ISP 链路的 “净” 容量 。这是误导性的,因为他们可能会将正常的每日清洁流量添加到广告容量中 – 因此请询问可用的攻击防御容量,排除正常的清洁流量 。
此外,供应商可能在不同的清洗中心具有不同的容量,并且所有清洗中心的净容量可能无法很好地反映您关注的数据中心所在地的清洗中心攻击防御能力 。最后,重要的是 DDoS 防御提供商为清洁流量提供完全独立的数据路径,并且不会将干净的客户流量与攻击流量混合在一起 。
三、内容分发网络
第三种类型的 DDoS 防御架构基于利用内容分发网络(CDN)来扩散大型 DDoS 攻击 。然而,当涉及到 CDN 的 DDoS 防御能力时,情况再次变得模糊 。

推荐阅读