Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。
理解 ICMP 泛洪 DDoS 攻击
互联网控制消息协议 (ICMP) 泛洪攻击是一种拒绝服务攻击(DoS 攻击),早些年在攻击者中非常流行。虽然它已不再是主要 攻击媒介,但攻击者经常将它与其他方法一起使用,以发起更难以抵御的、高度复杂的攻击,这种攻击也被称为多媒介攻击。
ICMP 泛洪攻击利用了互联网控制消息协议,该协议使用 echo-requests 和 echo-replies(或 ping)来检查设备的运行状况和连接性。在 ICMP 泛洪攻击(有时被称为“ping 泛洪攻击”)中,攻击者使目标网络路由器或 IP 地址的带宽过载,或用精心制作的 ICMP 数据包让设备不堪重负,使其向下游的下一跃点转发流量的能力过载。当设备试图进行响应时,它的所有资源(内存、处理能力、接口速率)都会被占用,导致它无法再为合法请求或用户提供服务。
Akamai 提供了一套 DDoS 防护解决方案,能够在云中迅速阻止 ICMP 泛洪攻击和其他 DDoS 攻击,避免攻击到达应用程序、数据中心和基础架构。Akamai 的专用解决方案提供高性能的抵御措施,以抵御如今的大规模复杂 DDoS 攻击。通过在您的混合环境中主动减少攻击面和风险,提供始终开启的抵御措施,Akamai 有能力立即阻止攻击,以免攻击对您的生产或企业互联网资源造成破坏。
犯罪分子如何执行 ICMP 泛洪攻击
互联网控制消息协议 (ICMP) 最初是为了测试两个设备之间的连接性(通过测量发送 ICMP echo-request [或 ping] 与接收 echo-reply 之间的时间间隔)。多年来,服务提供商或云提供商之所以能够监测互联网资源运行状况和状态,ICMP 不可或缺,攻击者也知道这一点。攻击者可以配置大量来自真实来源 IP 的 ICMP 数据包,或使用伪装技术。这种伪装技术将生成一定数量的 echo-request 数据包、ping 请求、ICMP 数据包,以发送到目标设备或目标服务器,然后再用相同数量的回复数据包将 echo-replies 发回给原始请求来源 IP。通过生成大量攻击流量,攻击者不仅能占用目标设备的所有可用带宽,使其无法被正常和合法流量访问,而且还会占用连接到该目标端点的任何网络设备或下一跃点上游/下游设备。
ICMP 泛洪攻击可以在拒绝服务攻击中从一台机器发起,也可以从 僵尸网络 中发起,从而形成分布式拒绝服务 (DDoS) 攻击。虽然 ICMP DDoS 攻击不像许多其他攻击媒介那样危险或难以抵御,但它们可以与 UDP 泛洪攻击、RESET 泛洪攻击、SYN 泛洪攻击、TCP 异常、PUSH 泛洪攻击和其他攻击漏洞等方法结合使用,以发起大规模的复杂 DDoS 攻击。如果您的一些正常流量是 ICMP,而您收到了 ICMP 泛洪攻击,由于误报,抵御会变得略微复杂,需要采取更高级的控制措施才能确保抵御的质量或一致性。ICMP 放大攻击(也被称为 Smurf 攻击)采用与传统 ICMP 相同的技术,但不需要攻击者利用自己的黑客资源,可以利用开放的解析器或其他容易被 DNS 攻击利用的基础架构。
Akamai DDoS 防护
Akamai 的安全解决方案采取了一种全面的 DDoS 防护方法。作为第一道防线,Akamai 通过专用边缘、分布式 DNS 和云抵御策略来保护 IT 环境,以防止附带损害并避免单点故障。与其他采用“一体化”解决方案的云安全提供商架构相比,Akamai 专门构建的 DDoS 云提供了更高的恢复能力、专用的净化容量和更高的抵御质量。
Akamai DDoS 防护机制具备:
出色的容量和规模。我们提供全球大型成熟 DDoS 抵御云,这使我们能够为多个客户提供 DDoS 防护服务,同时对抗多种 DDoS 攻击。无论您是保护整个数据中心、单个应用程序还是权威 DNS,我们的解决方案都能提供高容量、快速抵御和出色的恢复能力。
成熟稳健的抵御经验。我们已经抵御了一些大规模 DDoS 攻击。我们的主动式抵御控制可实现真正的零秒抵御,使我们能够提供优秀的 SLA。我们的解决方案能够有效地应对各种 DDoS 攻击,包括 ICMP DDoS 攻击等大规模攻击、SYN 泛洪攻击等协议攻击以及 Slowloris 等应用程序层攻击。
与攻击媒介一样快速发展的保护措施。DDoS 攻击媒介不断变化,DDoS 攻击的规模和复杂性也在逐年增加。Akamai 不断投资、开发和部署新的工具和规则,以检测、模拟和抵御攻击,从而领先于不断变化的威胁。
支持云战略的解决方案。 Akamai Connected Cloud 提供的 DDoS 防御措施有助于将保护措施扩展到核心、云和边缘,在尽可能降低风险的同时,为未来云战略的发展提供灵活性。
一套防止 ICMP 泛洪攻击的解决方案
Akamai 通过三种专门的解决方案提供 ICMP 泛洪攻击和 DoS 防护。您可以根据应用场景、应用程序要求和所需的抵御时间 SLA 来选择适合您的 IT 环境的解决方案或解决方案组合。
Prolexic
Akamai Prolexic 通过零秒 SLA 和快速有效的规模化防御来阻止 UDP 泛洪攻击。Prolexic 提供跨所有端口和协议的云交付抵御措施,在攻击影响业务之前在云中阻止攻击。通过 Prolexic,网络流量被交付到全球 20 多个高容量净化中心之一。在那里,我们可以在更接近攻击来源的地方阻止攻击,从而为用户尽可能提高性能,并通过云分布确保网络恢复能力。在每个净化中心,Akamai 安全运营指挥中心 (SOCC) 使用主动和/或定制的抵御控制措施,以迅速阻止攻击,将干净的流量返回到客户源站。
App & API Protector
Akamai App & API Protector 是一种整体 Web 应用程序和 API 保护架构,旨在保护整个 TCP 网络和 API 资产,其对自动化和简单性的重视在业界处于优秀水平。该解决方案汇集了核心技术,包括 API 安全性、Web 应用程序防火墙、爬虫程序抵御和 DDoS 防护。App & API Protector 可抵御广泛的威胁,包括大规模 DDoS 攻击(比如 UDP 泛洪攻击和 ICMP 泛洪攻击)、注入和基于 API 的攻击、应用程序层攻击(比如 Slowloris)以及基于协议的威胁(比如 TCP Out-of-State 攻击、SYN 泛洪攻击或需要合法用户完成三方握手的 ACK 泛洪攻击)。
Edge DNS
Akamai Edge DNS 是一种基于云的 DNS 解决方案,它利用 Akamai Connected Cloud ,使客户能够访问全球 1000 多个入网点的数千台 DNS 服务器。借助 Edge DNS,企业不再需要仅仅依靠两到三台 DNS 服务器(这种常见的做法使企业容易受到数据中心中断和 DDoS 攻击的影响)。该 Akamai 解决方案可以吸收大规模 DDoS 攻击,与此同时继续响应合法的用户请求,从而提高 DNS 的恢复能力和响应能力。
常见问题
互联网控制消息协议 (ICMP) 泛洪攻击是一种常见的分布式拒绝服务 (DDoS) 攻击。在此类攻击中,攻击者试图用 ICMP ping 或 echo-request 数据包使服务器或网络设备不堪重负。通常情况下,它们会使用 ICMP ping 来确定设备的运行状况和与该设备的连接性。通过用 ICMP 泛洪 DDoS 攻击使目标设备不堪重负,设备失去了用同等数量的回复数据包进行响应的能力,从容消耗过多资源,使设备无法合法地正常运行。
ICMP 泛洪攻击能够阻止合法请求到达设备,从而让用户无法访问依赖 ICMP 作为健康监测器或可用性信标的基本应用程序和服务。