网络分流器-网络分流器-DDoS×××与防护
戎腾网络分流器

DDOS ×××是什么？DDoS（分布式拒绝服务）×××就是×××者发起的一个尝试，目的是耗尽可用于网络、应用程序或服务的资源，以至于真正的用户无法访问这些资源。

从 2010 年开始，并在相当程度上在×××行动主义兴起的激励下，DDoS ×××有所回升，从而刺激了工具、目标和技术等领域的创新。

如今，DDoS ×××已经演变成一系列×××，包括非常大规模的、更微妙的、不易检测的×××，针对应用以及现有的安全基础设施如防火墙和 IPS。

戎腾网络移动互联网采集器

DDOS ×××不同的类型有哪些？DDoS ×××变化显著，并且一个×××可以执行的不同方式有上千种（×××源），但是一个×××向量一般可归于三大类之一：

容量耗尽×××：试图消耗无论是目标网络/服务范围内、还是在目标网络/服务和互联网其余部分之间的带宽。这些×××只是会造成拥堵。

TCP 状态表耗尽×××：这些×××试图消耗许多基础设施组件（例如负载均衡器、防火墙和应用服务器本身）中存在的连接状态表。即使能维持数以百万计的连接状态的高容量设备也可以被这些×××搞垮。

应用层×××：这些针对第 7 层上的一个应用程序或服务的一些方面。这些是最致命的一种×××，因为他们可以甚至有效到少到一个×××机器便可以产生低流量速率（这使得这些×××难以主动检测和清除）。这些×××在过去的三、四年中普遍发生，并且简单的应用层泛洪×××（HTTP GET flood 等）已经成为在外界发现的最常见的 DDoS ×××之一。

今天老练的×××者针对基础架构设备将容量耗尽×××、状态表耗尽×××和应用层×××混合成一个单一的、持续的×××。这些×××很受欢迎，因为它们难以抵御，往往非常有效。

但问题并没有结束。据 Frost & Sullivan 说，DDoS ×××是创新“越来越多地被用作牵制战术以进行有针对性的持续×××。”×××者正在发起 DDoS ×××以分散网络和安全团队注意力，同时试图向网络中注入恶意软件，目的旨在偷取 IP 和/或关键客户或财务信息。

为什么 DDOS ×××如此危险？DDoS 代表对业务连续性的一个严重威胁。随着组织变得越来越依赖于互联网和基于网络的应用程序和服务，可用性变得如同电力一样重要。

DDoS ×××不仅对明显需要可用性的零售商、金融服务及×××构成威胁。DDoS ×××也针对你的组织用以管理日常运营所依靠的关键业务应用，如电子邮件、销售力自动化、CRM 和许多其他应用。此外，其他行业如制造业、制药和医疗保健行业，拥有供应链和其他业务伙伴日常业务运营所依赖的内部网络性能。所有这些都是当今老练的×××者们的目标。

DDOS ×××成功的后果是什么？当一个面向公众的网站或应用程序不可用时，可能会导致客户愤怒、收入损失和品牌受损。当业务关键应用变得不可用时，运营和生产力陷于停顿。合作伙伴所依靠的内部网站意味着供应链和生产中断。

一个成功的 DDoS ×××也意味着你的组织已经邀请了更多的×××。你可以期待×××一直持续到更强大的防御部署。

你用于 DDOS 防护的可选方案有哪些？鉴于 DDoS ×××的高姿态性质及其潜在的破坏性后果，许多安全供应商也已经突然开始提供 DDoS 防护解决方案。有这么多方案取决于你的决定，关键是要了解你的可选方案的优点和缺点。

现有的基础设施解决方案 （防火墙、***检测/保护系统、应用交付控制器/负载均衡器）IPS 设备、防火墙和其他安全产品都是分层防御策略中的基本要素，但是它们的设计用途是解决安全问题，这与专用的 DDoS 检测和缓解产品具有本质上的区别。例如，IPS 设备可以阻止那些以盗窃数据为目的的***企图。而防火墙则扮演着政策执行者的角色，防止未经授权的数据访问。虽然这样的安全产品有效解决“网络的完整性和保密性”，它们不能解决涉及 DDoS ××ד网络可用性”的一个基本问题。更重要的是，IPS 设备和防火墙是有状态的、内嵌的解决方案，这意味着它们很容易受到 DDoS ×××而且 他们自身常常成为×××目标。

类似于 IDS/ IPS 和防火墙，ADC 和负载均衡器没有更广泛的网络流量可视性，也没有集成威胁智能感知，并且它们也是有状态的设备易于受到状态耗尽×××。状态耗尽威胁、容量耗尽威胁以及混合应用级别×××的增加，使得 ADC 和负载均衡器成为需要最佳 DDoS 防护的客户的一个有限和局部的解决方案。

内容分发网络 (CDN)事实是，一个 CDN 可以解决一个 DDoS ×××的症状，但只是吸收这些大量的数据。它允许所有的数据流入和流出。全部都是受欢迎的。这里有三个注意事项。第一，必须有带宽可用于吸收该大规模流量，其中一些基于容量的×××超过 300 Gbps，并且所有的容量能力都有代价。第二，CDN 周围有路径。并不是每一个网页或资产都将使用 CDN。第三，一个 CDN 不能免于遭受基于应用的×××。因此让 CDN 去做它要做的事情。

网络分流器

真正先进的 DDOS 防护的方法是什么？十多年来，日益进化的专用DDoS防护系统已经保护了世界上最大和最苛求的网络免于遭受 DDoS ×××。保护你的资源免于遭受现代 DDoS ×××的最好方式是实现一个特别构建的、多层部署的 DDoS ×××缓解解决方案。

你会需要云保护以阻止今天的大容量×××，需要本地保护以防范隐身应用层×××，以及防范对现有有状态基础设施设备如防火墙、IPS 和 ADC 的×××等。你会需要这些功能的组合或是其中一部分。

只有通过紧密集成、多层防御，你才可以充分保护你的组织免于遭受各种 DDoS ×××。

云架构保护方案（紧密集成的、多层 DDoS 防护）
可用性保护解决方案（本地部署）
威胁管理系统（针对大组织的高容量本地部署解决方案）
戎腾网络的网络分流器产品向客户提供他们自己网络的微观视图，结合我们的威胁智能感知架构提供的全球互联网流量的宏观视图，客户能够享有强大的、无与伦比的安全防护能力!