高性能、低成本的高防 IP 产品能现实吗?

DDoS 攻击是网络攻击最常用的方式之一,也是企业发展道路上的阻碍。作为业务发展的巨大隐形“地雷”,企业想要自建 DDoS 防御的技术门槛很高,且建设周期不可控。这给予了安全厂商海量的市场机会,但是在琳琅满目的产品市场中,厂商需要如何快速占领市场,获得客户?知己知彼的需求理解可以打开行业赛道,非常夯实的产品性能可以让自己在赛道上奔跑起来,而如何在弯道上超车则需要更创新的技术产品,以及顺势而为的洞悉布局。

2018,一起 Memcached 反射放大攻击的流量峰值达到了 1.7Tbps,当时很多安全媒体用了核弹级这个词汇,影响程度已经令人咋舌。然而,今年,DDoS 攻击流量峰值再创新高。

DDoS攻击现状

智能技术开启了人类社会发展的崭新一页,生活方式迎来翻天覆地的便捷革命的同时,网络威胁者也露出了更加猖獗的笑容,典型的趋势之一则是:DDoS 攻击的流量峰值从 G 时代正式跨入了 T 时代。

Neustar 公司安全运营中心(SOC)表示,在今年 2月记录了对 Amazon Web Services 客户端的 2.3Tbps 攻击,这是有记录以来最大的体积 DDoS 攻击,持续了五天零十八小时。该事件宣告着 2Tb 级攻击时代正式来临,巨大的破坏力再一次引起人们的注意。

尽管,Tb 级别的 DDoS 攻击事件比较罕见,但令人担忧的是其他流量级别的 DDoS 攻击已经成为一种“常态”。

高性能、低成本的高防 IP 产品能现实吗?

今年全球疫情加速了线下业务向线上转移的速度,如大量企业开始探索远程办公,此外,国内也在大力推动新基建,企业的数字化转型正在如火如荼的进行,这让 DDoS 攻击者拥有大量可乘之机。

高性能、低成本的高防 IP 产品能现实吗?

根据网络安全公司 Neustar 的报告,与去年同期相比,今年上半年分布式拒绝服务(DDoS)攻击的数量增加了 151%。同时,与上年同期相比,今年上半年的攻击总数增加了 2.5 倍以上。其中,100Gbps 以上的攻击数量增长了 275%,而小型攻击(5Gbps及以下)的数量增长了 200% 以上。

此外,值得注意的是,Neustar 还提到,一半以上的缓解威胁利用了三个或更多的媒介,这清楚地表明攻击正在变得越来越复杂。

安全“高压”下的企业生存现状

随着业务的多元以及市场竞争的激烈发展,商业竞争、恶意报复、勒索甚至是发泄不满,都可能成为企业遭受 DDoS 攻击的缘由。有数据统计显示,超过 8 成的企业在近一年内都遭受过 DDoS 攻击,显然,DDoS 攻击已经成了为针对企业的普遍攻击手段。而且,DDoS 的攻击时段多为业务高峰期或在线人数最多时段,以达到最大的破坏效果,这对于追求盈利的企业来说,会造成巨大的品牌影响力损害以及财务损失。

针对这个常见的网络攻击方式,很多企业的应对方式是部署带有抗 D 功能的 WAF 产品。但是,这种捆绑功能,实际上只能针对小流量,或者应用层的攻击,有一定效果。DDoS 攻击流量达到一定的峰值,只靠防护设备是很难挡住,需要选择更专业的抗 D 产品。

借助运营商的能力,进行紧急扩容或开启流量清洗,针对反射放大类攻击,或直接在运营商侧进行过滤,都会提升抗 DDoS 攻击的防御效果。目前市场上专业的抗 D 产品一般可以分成这几类:本地设备清洗、运营商清洗、云清洗和一些新技术在抗 D 中的应用。相比之下,传统安全厂商提供抗D硬件盒子, 如流量清洗设备;云安全厂商所提供的 SaaS 模式部署的抗 D 服务,更容易被接受,且成本及人力投入也更小。

目前,流量清洗市场主要由阿里云等行业巨头占据主导地位,该类厂商的产品性能较强,但价格高昂。这对于一般的中小企业或者一些个人用户来说,有相当大的价格压力。如何兼顾到这群客户的需求?市场上出现了高性价比,实用性能的产品,如又拍云 DDoS 高防 IP 产品。

又拍云高防 IP 产品体验

又拍云 DDoS 高防 IP 是针对容易遭受大流量 DDoS 攻击的电商、金融、游戏等类型的客户专门推出的增值云防护服务。当攻击发⽣时,所有攻击流量将被牵引到⼜拍云分布各地的不同⾼防节点,分布式处理完成后,将正常流量返回最终源站。具体应用流程为:用户可通过配置高防 IP,当其域名或源站 IP 在遭受⼤流量的 DDoS 攻击时,通过⾼防 IP 代理源站 IP ⾯向⽤户,隐藏源站 IP ,将攻击流量牵引到⾼防 IP 进⾏清洗后,把正常访问的流量返回源站,确保源站的安全稳定。

FreeBuf 通过一次实际操作体验了该产品的全流程运用,旨在分析较为真实的用户体验。

在又拍云官网上成功进入控制台总览界面,可以发现,又拍云的产品分为基础产品与增值服务两个板块:基本产品均可免费使用,而增值服务则需要进行付费购买。

其中,需要使用到 SSL 证书服务于 DDoS 高防 IP 两项增值服务。添加完证书之后,进入 DDoS 高防 IP 管理控制台界面。此时可进行选择服务购买,可见的是又拍云提供多种付费模式套餐。

高性能、低成本的高防 IP 产品能现实吗?

高性能、低成本的高防 IP 产品能现实吗?

完成购买服务后,列表中即会出现该集群策略,可以在策略中配置白名单,避免误伤友军(此步骤需要联系客服进行协助)。配置完实例之后,即可切换到域名解析列表。

高性能、低成本的高防 IP 产品能现实吗?

点击右上角的“添加转发规则”则可以定义高防集群转发规则。如果用户需要添加的域名协议为 HTTPS,则需要上传添加证书。

高性能、低成本的高防 IP 产品能现实吗?

高性能、低成本的高防 IP 产品能现实吗?

添加完成之后,即可开启对应的 WEB 基础防护。此时高防业务正式上线开始运作。

高性能、低成本的高防 IP 产品能现实吗?

值得一提的是,后续运营管理者可以在防护报表来对 DDoS 流量与威胁风险事件进行查看。同时,如果有多个集群策略的话,亦可以选择不同的集群实例来查看流量图谱。

高性能、低成本的高防 IP 产品能现实吗?

事件记录中,风险和威胁都会被实时记录。可以直观地查询和了解具体情况。

高性能、低成本的高防 IP 产品能现实吗?

高性价比的产品或实现弯道超车

通过对于产品的实操,以及结合相应的官方资料及实验数据,可以将又拍云的高防 IP 产品亮点分析为三个方面:

第一:总体来看,该产品拥有较高的性价比,与大安全厂商昂贵的价格相比,是适合小企业及个人的选择。游戏企业是该类攻击的主要受害者,其中不乏大量的小型企业。一般这类型客户面临的问题包括:预算有限,安全专业人士有限,企业安全配置能力有限。他们对于安全产品的性价比非常看重。

这款产品可以较好地协调上述问题:首先,⾼防 IP 提供在线 SaaS 服务接⼊⽅式,⽤户不需要购买任何硬件设施,可直接使⽤⾼防 IP 服务,⾃助配置管理。据官方给出的数据显示,只要⽹站或应⽤具备正规运营的资质,通过简单的 DNS 操作,在 10min 内即可接⼊防护。而且,通过测评过程可以发现,其控制台⽀持 DDoS 流量数据透明化展示。这对于资源有限的企业来说,这样灵活便捷部署,且可视化的数据呈现方式可以减轻更多的人力资源投入,降低管理运营门槛。

高性能、低成本的高防 IP 产品能现实吗?

高性能、低成本的高防 IP 产品能现实吗?

此外,在带宽方面,该产品的上限能力无法与大厂商媲美,但是 50G 的保底带宽可满足一般的中小企业,且其价格相对便宜,用户也可根据⾃身业务需求选择合适防护带宽,节省费⽤。

值得一提的是,云抗 D 产品轻便易用的特点也符合抗 D 产品的发展趋势。又拍云曾获得 2020 数字新基建·年度最佳云服务模式创新奖(中国云体系产业创新战略联盟),这表明其发展空间比较大的同时也拥有相应的基础实力。随着单点防护的逻辑正在向一体化功能迈进,该产品如果集成其他安全防护的功能,对于客户,特别是中小企业来说将更便捷,且有更高的安全系数。

第二,专业防护能力较好。从一次实际的攻击测试记录中可以分析出其防护能力。首先,从流量清洗效率来看,该产品在 15 分钟内可以将异常流量大幅度降低,半小时内完成流量清洗。

高性能、低成本的高防 IP 产品能现实吗?

在可抵御的最大流量方面,其支持异地多节点多线路防护,单点防御可达 2T,全⽹总防御近 10T。可抵御的流量类型方面,其⽀持 BGP 、电信、 联通、移动等多类线路,可以有效防御 SYN Flood、ACK Flood、UDP Flood、HTTP Flood、CC 攻击等。

市场上很多抗 D 产品面临产品能力问题,特别是针对 CC 攻击,产品防御效果不明显,以及攻击可视化、溯源等能力不足的问题。相比之下,又拍云的产品在防护能力和产品端方面都有不错的一面。

高性能、低成本的高防 IP 产品能现实吗?

第三,该产品延展性较强,⽀持 TCP、UDP、HTTP、HTTPS 等协议,针对不同场景、不同类型的攻击均可防御,满⾜电商、⾦融、游戏等各种类型的业务需求。这对于涉及多领域业务的企业来说是一个有利的消息,可以避免多个产品部署的繁琐。

上一篇:浅析大规模DDOS防御架构:应对T级攻防


下一篇:如何停止和防止对WordPress的DDoS攻击