相較於專屬DDoS緩解設備,對於主要提供ADC解決方案的Kemp Technologies而言,其代理商奕銓科技技術支援經理林子涵觀察,DDoS機制較偏向是衍生性的服務項目,在解析應用層資訊後,順勢增添判斷攻擊行為與執行阻斷的功能,只是會有承載量的上限,例如Kemp LoadMaster 2200每秒可承載大約六萬個SYN封包,可支援的DDoS攻擊緩解也較著重在各式Flood攻擊行為。
「ADC設備大多內建SYN Proxy,以代理人的概念處理連線而非轉送,當用戶端發出連線要求,進行三方交握完成後,ADC才會向目標伺服器要求資料,此機制本身就具備過濾功效,這同樣是Kemp對於緩解DDoS基本措施。」林子涵說。至於DNS攻擊行為,ADC可經由檢查機制確認合法性,例如DNS封包傳遞的頻率過高等狀況,即可直接攔阻。
 |
| ▲ Kemp代理商奕銓科技技術支援經理林子涵觀察,專屬DDoS緩解設備除了包含ADC可提供的機制外,重點在於具備行為分析能力,才能在遭受攻擊時,準確地判斷正常流量,繼續提供服務,通常是中大型的應用環境較得以發揮。 |
其實應用服務中斷問題始終存在,可能的因素相當廣泛,除了難解的DDoS攻擊,負載容錯亦是長期以來關注的焦點之一,較著重於防範連線失敗建立的備援機制。其實若探討服務中斷的定義,回應速度過慢逾時也屬於此範疇,於是即可應用負載容錯技術基礎的功能,檢查服務的狀態、回應時間。
就ADC廠商普遍支援的Exchange系統來看,多數作法是採用自家設計的Script語法撰寫進行整合,實際上客戶根本不懂Script語法,因此一旦遇到問題,只能仰賴廠商處理。而Kemp作法是內建視窗介面可操作的機制,較簡單易懂且容易上手。再加上既有深度整合微軟旗下的系統服務,內建的樣板中即包含檢查機制,不需要客戶再自製撰寫Script,即可確認伺服器在正常的運行下,應用內容也同樣確實遞送。
「以奕銓科技的角度而言,近來在客戶端較多的討論,主要是建置昂貴資料庫系統檢查機制的必要性,以及是否有更簡單的方式,或者既有建置的設備內建技術來實現。」林子涵說。事實上,只要新增一段自我測試的程式碼,以確認網頁內容是否成功遞送,最了解自家應用程式的開發人員即可實作,之後再將此檢查結果遞送到Layer 7負載平衡即可。
對於以三層式架構建立服務為導向的應用系統,若欲確認各個環節的運行狀態,無法僅仰賴負載平衡,勢必需要在程式中增添檢查機制才得以完整掌握,且必須要能細緻到執行工作流程本身。「而奕銓科技的價值即是技術服務人員以整合性思維,建議客戶就現有的基礎上解決當前的問題,而非建置多套資訊設備解決單一問題。」