选择DDoS 缓解网络的 5 个关键考虑因素
DDoS缓解服务不仅仅是技术 或 服务保证。底层网络的质量和弹性是你的盔甲中的一个关键组成部分,必须仔细评估它才能确定它在多大程度上保护你免受复杂的DDoS 攻击。
以下是评估DDoS清理网络时的五个关键考虑因素。
海量容量
在防御大规模DDoS攻击方面,规模很重要。在过去十年中,DDoS 攻击量一直在稳步增长,并且每年都达到新的攻击高度(和规模)。
迄今为止,经过验证的最大DDoS攻击是针对 GitHub 的基于memcached的攻击。这种攻击达到了大约每秒 1.3 太比特 (Tbps) 和每秒 1.26 亿数据包 (PPS) 的峰值。
为了抵御这样的攻击,清理网络不仅必须足以“覆盖”攻击,而且还必须有足够的溢出容量来容纳网络上的其他客户和可能同时发生的其他攻击。一个好的经验法则是寻找至少是迄今为止观察到的最大攻击容量的 2-3 倍的缓解网络。
专用容量
然而,仅仅拥有大量容量是不够的。将此容量专用于DDoS清理也很重要。许多安全提供商——尤其是那些采用“边缘”安全方法的提供商——也依赖他们的内容分发网络 (CDN) 能力来缓解 DDoS。
然而,问题是大部分流量已经在日常使用。CDN提供商不喜欢为未使用的容量付费,因此 CDN 带宽利用率通常会达到 60-70%,并且经常会达到 80% 或更高。这为大规模 DDoS 攻击可能导致的“溢出”流量留下了很小的空间。
因此,更谨慎的做法是专注于容量专用于DDoS清洗并与 CDN、WAF或负载平衡等其他服务隔离的网络。
全球足迹
组织部署DDoS缓解解决方案以确保其服务的可用性。可用性的一个日益重要的方面是响应速度。也就是说,问题不仅在于服务是否可用,还在于它的响应速度有多快?
基于云的DDoS保护服务通过服务提供商的清洗中心路由客户流量,删除任何恶意流量,然后将干净的流量转发到客户的服务器来运行。结果,这个过程不可避免地给用户通信增加了一定的延迟。
影响延迟的关键因素之一是与主机的距离。因此,为了最大程度地减少延迟,洗涤中心尽可能靠近客户非常重要。这只能通过全球分布式网络来实现,在战略通信枢纽部署大量洗涤中心,在那里可以大规模接入高速光纤连接。
因此,在检查DDoS保护网络时,不仅要查看容量数据,还要查看清洗中心的数量及其分布。
任播路由
影响响应时间的一个关键因素是网络本身的质量及其后端路由机制。为了确保最大速度和弹性,现代安全网络基于基于任播的路由。
基于任播的路由在IP地址和网络节点之间建立了一对多的关系(即,有多个网络节点具有相同的IP 地址)。当请求被发送到网络时,路由机制应用最小成本路由原则来确定哪个网络节点是最佳目的地。
可以根据跳数、距离、延迟或路径成本考虑来选择路由路径。因此,来自任何给定点的流量通常会被路由到最近和最快的节点。
任播有助于提高网络内流量路由的速度和效率。基于任播路由的DDoS清理网络享有这些优势,最终为最终用户带来更快的响应和更低的延迟。
多重冗余
最后,在选择DDoS清理网络时,务必始终进行备份。DDoS 保护服务的重点是确保服务可用性。因此,您不能让它(或其中的任何组件)成为单点故障。这意味着安全网络中的每个组件都必须使用多重冗余进行备份。
这不仅包括多个清理中心和溢出容量,还需要ISP链路、路由器、交换机、负载平衡器、缓解设备等方面的冗余。
只有对所有组件都具有完全多重冗余的网络才能始终确保完全的服务可用性,并保证您的DDoS缓解服务不会成为其自身的单点故障。