Arbor Pravail Availability Protection System Application Delivery Controller Distributed Denial of Service KEMP Technologies Load Balancing Arbor Networks FortiDirecto Arbor Cloud FortiGate FortiDDoS Fortinet 分散式阻斷服務 Radware ATLAS 奕銓科技 DDoS

自動學習界定基準線 攔阻異常流量存取

2015-01-19
為了因應日益嚴峻的DDoS攻擊造成應用服務中斷,Fortinet除了透過FortiADC提供的全球伺服器負載平衡(GSLB)功能,在不同區域的資料中心建置設備,以彈性地派送流量,維持服務正常運行以外,亦有FortiDDoS專屬設備,協助緩解攻擊。
Fortinet台灣區技術總監劉乙說明,DDoS攻擊目的主要是為了阻斷服務,當緩解設備是採以傳統CPU、記憶體的架構,效能表現大多無法令人滿意,即使部署架構為Off-line,對提升處理速度的效果也有限。而FortiDDoS則可為In-line架構,主要原因是內建FortiASIC晶片,專屬執行優化統計。其比對基礎並非為特徵碼,而是以自動基準線學習(Self-Learning Baseline)機制統計實際應用環境狀態,範圍涵蓋Layer 3至Layer 7的流量資訊。

▲ Fortinet台灣區技術總監劉乙觀察,物聯網將會是IPv6的重要驅動力,由於每個終端都配置Public IP,可自動註冊DNS,屆時動態DNS(DDNS)將可能成為駭客發動DDoS的鎖定標的。
他舉例,假設某個主機IP位址,早上九點上班後會出現Web、FTP、E-mail通訊行為,流量佔比大致為50%、20%、30%,在FortiDDoS內建的資料庫中均會以獨立表單記錄。除此之外,包含通訊行為出現的指令次數,全數記錄後即可形成「基準線」,據以訂定合理預測量。繼續觀察一個星期後若發現,平均每天的流量皆超過預測量的20%,FortiDDoS亦將自動拉高基準線,以確保丟棄流量的正確性。

當然市場上的Clean Pipe服務也可協助處理,只是依照流量計價下往往所費不貲,較務實的做法應先建立自我防護機制,阻擋已知的DDoS攻擊行為,劉乙發現,除了過往較常見的內容服務提供者,像是遊戲、賭博、電子商務等,會採自建緩解設備因應DDoS攻擊,近來電信業者也開始評估,且是最新可承載至100G規格的大型機種。畢竟電信業者是雲端運算服務主要的提供者,若不具備抵擋能力,勢必影響所有服務品質,況且當客戶端面對流量攻擊時,先行導向流量清洗平台亦可為加值服務項目之一。

此外,在全球不同區域的資料中心建置FortiADC,不僅可彈性地派送流量,更重要的是可辨識連線來源,進而導向最靠近存取者的資料中心,但若是其中一個據點被DDoS攻擊至狀態耗盡,該資料中心的流量則自動被分配至其他區域,繼續提供服務。

儘管如此,萬一出現極大規模區域性攻擊,GSLB的導向難免出現分派錯誤,於是Fortinet再增加FortiDirector雲端服務,即是將GSLB機制建置在雲端平台,由Fortinet全球十多個資料中心提供,且具備監看機制,並非為自動導向最接近,而是導向可用的服務,充份運用CDN(內容傳遞網路)優勢,緩解DDoS攻擊帶來的衝擊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!