针对 DoS 攻击和 DDoS 攻击,理想的防护机制应该是一种多层安全防护态势,它运用在防护相应事件方面有着出色往绩的技术,保护网站、应用程序、API、权威 DNS 和网络资源的安全。
防范拒绝服务攻击
拒绝服务 (DoS) 攻击或 分布式拒绝服务 (DDoS) 攻击是两种存在时间较为久远的网络威胁,至今仍然是高度盛行的大规模入侵工具。近年来,随着攻击规模不断扩大,攻击媒介的数量和组合愈加复杂,DoS 防护的难度也日益提高。由于安全架构日渐依赖于云端托管环境,许多企业都难以妥善保护面向互联网的资产,难以为其实现与数据中心内的资产相同的 DoS 防护水平。
DoS 和 DDoS 攻击都会造成类似流量堵塞的效果
概括来说,DoS 或 DDoS 攻击就如同成百上千个虚假拼车请求所导致的意外交通堵塞。这些请求在拼车服务看来似乎合法,因此服务会调度驾驶员接人,从而不可避免地使城市街道拥堵。这会导致正常的合法流量无法到达目的地。
云端 DDoS 防护的挑战
随着越来越多的企业淘汰传统数据中心,并将应用程序迁移到云端,为了保护面向 Web 的资产和互联网服务,安全团队需要更强大的自适应防护机制。但许多云托管 IP 不在企业的直接控制范围之内,如果没有得到妥善保护,DoS 和 DDoS 攻击者很容易得逞。
攻击者非常了解这种上云趋势,也深知企业的分散式云端托管基础架构中存在不一致的安全策略和较高的问题排查难度,进而渴望利用因此在企业安全态势中造成的薄弱环节。
而对于公有云环境,每家云服务提供商的安全防护责任都不尽相同,这导致情况更加复杂化。对于云服务提供商提供的安全防护水平,许多企业都做出了不够准确的假设,这会提高其遭遇攻击的风险,例如身份验证滥用、ARP 攻击、QoS 问题、配置不当的 MTU 设置,以及大量其他出站风险。
为了保护云端资产,安全防护团队正在积极寻找解决方案,从而通过单一控制平台编排 DDoS 和 DoS 防护,提供更高的监测能力和精简的报告能力,以改善事件数据的关联。
但云服务提供商提供的许多内部 DDoS 抵御解决方案都存在一些关键的不足,包括在监测能力、报告和 SLA 方面。有些提供商的解决方案的透明度很差,甚至没有透明度可言,而其他提供商则无法提供抵御时间 SLA 来保证正常运行时间和可用性。此外,许多云服务提供商并不支持客户按需获得全球安全运营中心 (SOC) 的全天候支持服务。
作为规模庞大、倍受信赖的网络安全云交付平台,Akamai 提供了专门打造的 DoS 防护方案,其复原力更出色,并且拥有专门的净化容量、更高的抵御质量,可以在云端拦截拒绝服务攻击,避免其影响到应用程序、数据中心和基础架构。
Akamai 提供的 DDoS 防护
Akamai 提供一套优秀的安全、 云计算和交付解决方案,帮助全球公司让数十亿人的生活更美好,每天感受数十亿次美好的瞬间。凭借横跨云端和边缘的全球分布式计算平台,我们帮助企业抵御各种威胁,同时不影响性能或客户体验。
我们的安全解决方案运用全面的 DoS 防护方法,发挥第一道防线的作用,并通过专用的边缘、分布式 DNS 和多元化的云端抵御策略提供保护。其他云安全防护提供商往往提供“一体化”解决方案形式的安全架构,我们则采用不同的方法,提供专门构建的 DDoS 云,提供更高的复原力、专用的净化容量和更高的抵御质量。
因此,Akamai Technologies 抵御了部分 互联网上创纪录的大规模 DDoS 攻击。我们的主动式抵御控制可实现真正的零秒抵御,提供业界卓越的 SLA。凭借出色的容量和规模,我们得以为许多客户提供服务,同时抵御多起 DDoS 攻击。
我们的 DDoS 防护和 DoS 防护解决方案有着更高的容量、更出色的复原力、更一致的抵御表现和更快的补救,无论您的安全防护团队希望保护单个应用程序、整个数据中心还是权威 DNS,总能满足需求。
多种 DoS 和 DDoS 安全防护解决方案
Akamai DoS 和 DDoS 防护技术可大幅度提升复原力,并且提供多层防御机制,能够抵御规模极大、复杂度极高的攻击。我们专门构建的解决方案可根据您的 Web 服务和面向互联网的服务,微调抵御措施,无论这些服务托管在何处,从而帮您避免单一故障点并降低整个 IT 环境的风险。
针对网站、应用程序和 API 的 DoS 和 DDoS 防护
Akamai App & API Protector 提供一整套保护措施,旨在保护全部 Web 和 API 资产。App & API Protector 秉承以客户为中心的理念,注重自动化和简单性,在一款简单易用的解决方案中结合了 Web 应用程序防火墙、API 安全防护、爬虫程序抵御,以及 DDoS 和 DoS 防护方面的业界卓越技术。
为面向互联网的基础架构提供安全防御
Akamai Prolexic(网址:https://www.akamai.com/zh/products/prolexic-solutions)提供云端交付的抵御措施,覆盖所有端口和协议,从而保护数据中心和混合基础架构免受 DDoS 攻击侵扰,避免其变为影响业务的事件。Prolexic 可在云端拦截攻击,避免其影响应用程序、数据中心、面向公共互联网或专用互联网的基础架构。Prolexic 在全球设有 20 多个高容量净化中心,可在更靠近攻击源头的位置拦截攻击,从而最大限度地为用户提高性能,并通过云端分布保持网络复原力。
保证 Web 应用程序和 API 始终可用的 DNS 安全防护
Akamai Edge DNS 是一种云端 DNS 解决方案,可提供全天候 DNS 可用性、更好的 DNS 响应度,还能够抵御规模庞大的 DDoS 攻击。Edge DNS 基于全球分布式任播网络构建,可取代现有 DNS 基础架构,或者以辅助 DNS 服务的形式实施,为现有基础架构提供补充。这种 Akamai 解决方案可根据用户的网络状况将其引导到高性能 DNS 服务器,因此无论用户在全球任何地点连接网站和应用程序,都能获得更好的响应能力和解析速度。Akamai 的高扩展性 DNS 平台具备充足的容量,足以吸纳规模极大的 DDoS 攻击,同时仍能响应合法用户请求,并确保为其提供更快的在线体验——即使在攻击期间也不例外。
常见问题
DoS 攻击就是拒绝服务攻击,其目的是让合法用户无法访问网站、路由器、服务器或网络。DoS 攻击由一台计算机发起,而分布式拒绝服务 (DDoS) 攻击则从多个位置对目标发起攻击。为此,DDoS 攻击会利用僵尸网络,也就是由 IPv4 或 IPv6 地址构成的分布式网络——由被劫持的计算机、机器或 IoT 设备构成的爬虫程序网络。
DoS 或 DDoS 攻击会采用泛洪的方式,向服务器、网站、网络设备或机器发送大量恶意流量,以此让其无法正常工作。在容量型攻击(如 ICMP 泛洪攻击或 UDP 泛洪攻击)中,攻击者使用大量流量造成目标不堪重负、系统或用于访问系统的网络路径过载,同时阻止合法流量和用户访问目标资源。
协议攻击(如 SYN 泛洪攻击)会发送利用协议通信的漏洞的恶意连接请求,企图耗尽网络基础架构资源(如防火墙或负载均衡器)的计算能力。在像 Slowloris 这样的应用层攻击中,攻击者会耗尽 Web 服务器、应用程序服务器或数据库可以处理的请求量,从而发起容量耗尽式攻击,同时保持较低的请求量,以此避开检测机制,最终造成用户无法使用攻击目标。
客户为什么选择 Akamai
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。