“零秒緩解”DDoS 攻擊，Akamai Prolexic 功不可沒！

投身數(shù)字化浪潮的企業(yè)，無論內(nèi)部運(yùn)作或是對(duì)外業(yè)務(wù)，越來越依賴于各類Web應(yīng)用程序。內(nèi)部協(xié)作和溝通、門戶網(wǎng)站、營(yíng)銷活動(dòng)、商務(wù)系統(tǒng)、客戶互動(dòng)與支持……基于IP和Web技術(shù)的應(yīng)用程序在這其中扮演了重要的作用，甚至成為開展業(yè)務(wù)不可或缺的重要環(huán)節(jié)。

然而，這些系統(tǒng)也逐漸成為攻擊者的主要目標(biāo)之一。根據(jù)Akamai統(tǒng)計(jì)，目前面向企業(yè)用戶的各類外部攻擊中，DDoS攻擊占24%，此類攻擊的年均增長(zhǎng)率也高達(dá)14%！僅在2020年，Akamai所觀察到的最復(fù)雜的DDoS攻擊就使用了9種攻擊向量，在超過一小時(shí)的時(shí)間里產(chǎn)生了超過1Tbps流量，峰值流量高達(dá)1.44Tbps。此外，還有另一次攻擊數(shù)據(jù)包峰值達(dá)到了創(chuàng)紀(jì)錄的809 Mpps。

在具體行業(yè)方面，從金融服務(wù)到互聯(lián)網(wǎng)，以及教育、零售、傳媒甚至酒店和旅游，幾乎每個(gè)行業(yè)都受到了不同程度的DDoS威脅，但游戲行業(yè)成為當(dāng)之無愧的重災(zāi)區(qū)。2020年上半年所遭遇的DDoS攻擊數(shù)量在所有其他行業(yè)中獨(dú)占鰲頭。根據(jù)Akamai的統(tǒng)計(jì)，游戲行業(yè)2020年上半年每月遭受的DDoS攻擊都接近300次之多，在所有行業(yè)中位居榜首！

值得注意的是，包括上述這次“最大”DDoS攻擊在內(nèi)，Akamai客戶所遇到的全部DDoS攻擊中，有80%實(shí)現(xiàn)了“零秒緩解”。也就是說，雖然遭遇嚴(yán)重DDoS攻擊，但相關(guān)流量在攻擊發(fā)起同時(shí)就被緩解掉了，沒有產(chǎn)生任何負(fù)面影響。這是如何做到的？

零秒緩解DDoS攻擊

Akamai Prolexic居功至偉

Akamai Prolexic是一種專門用于抵御DDoS攻擊的平臺(tái)，具備高達(dá)8.2 Tbps的專用網(wǎng)絡(luò)容量，可在DDoS攻擊到達(dá)應(yīng)用程序、數(shù)據(jù)中心或基礎(chǔ)設(shè)施前，在云中阻止DDoS攻擊。多年來，雖然DDoS攻擊的流量之高屢破紀(jì)錄，但Prolexic平臺(tái)本身的容量也與日俱增，幫助客戶更有效地應(yīng)對(duì)流量和數(shù)據(jù)包規(guī)模越來越大的DDoS攻擊。

例如在2017年，該平臺(tái)的總?cè)萘績(jī)H3.5Tbps，到2018年就已經(jīng)激增至7.5Tbps，并且以后每年都在增加。除了容量，該平臺(tái)每秒能夠處理的DDoS數(shù)據(jù)包數(shù)量也在飛速增長(zhǎng)。容量的不斷提升確保了用戶就算遭遇大規(guī)模復(fù)雜DDoS攻擊，也能順利實(shí)現(xiàn)“零秒緩解”。

網(wǎng)絡(luò)流量通過Akamai遍布全球的20個(gè)云端清洗中心（CSC）進(jìn)行清洗和重定向，在最大限度消除DDoS攻擊影響的同時(shí)，還可最大限度縮短性能延遲并提高網(wǎng)絡(luò)恢復(fù)能力。

Akamai Prolexic靈活提供了三種部署選項(xiàng)：PLX Routed、PLX Proxy以及PLX IP Protect。其中Prolexic IP Protect可以為企業(yè)提供最簡(jiǎn)單且有效的方法，來保護(hù)數(shù)據(jù)中心或IaaS環(huán)境內(nèi)基于IP和Web的應(yīng)用程序免受DDoS攻擊。

Prolexic IP Protect利用IP Anycast，使傳輸?shù)绞鼙Ｗo(hù)IP地址的所有網(wǎng)絡(luò)流量都會(huì)流經(jīng)Akamai遍布全球的清洗中心。Akamai安全運(yùn)營(yíng)指揮中心（SOCC）的員工隨后會(huì)在每個(gè)清洗中心針對(duì)DDoS攻擊媒介檢測(cè)網(wǎng)絡(luò)流量，移除檢測(cè)到的攻擊流量，并且僅將清潔流量轉(zhuǎn)發(fā)至應(yīng)用程序源站。

這種方式可以通過簡(jiǎn)單靈活的按需部署為用戶帶來大量好處：

·整合式保護(hù)：可保護(hù)單一IP地址或不超過/24范圍的子網(wǎng)，甚至碎片化的不連續(xù)IP地址空間。

·自服務(wù)配置：可通過自服務(wù)方式分配、配置并管理虛擬IP（VIP），并隨時(shí)更新后端系統(tǒng)和端口。

·多端口支持：每個(gè)VIP最多可開放100個(gè)端口或特定的端口范圍。

·簡(jiǎn)化的防御機(jī)制：Prolexic VIP之后的任何后端IP均可獲得保護(hù)，可同時(shí)保護(hù)IPv4/v6，或保護(hù)指定的域。

·增強(qiáng)的能見性：即使在DDoS攻擊正在展開的情況下也可以實(shí)時(shí)查看網(wǎng)絡(luò)流量，并通過數(shù)百個(gè)指標(biāo)更好地了解DDoS攻擊的構(gòu)成。

靈活支持各種協(xié)議：能夠支持大部分主要的TCP/UDP協(xié)議和服務(wù)。

企業(yè)越來越多地通過各種基于IP和Web的應(yīng)用程序和服務(wù)，與客戶、員工及合作伙伴互動(dòng)。這類應(yīng)用程序如果發(fā)生服務(wù)中斷，會(huì)對(duì)最終效益產(chǎn)生嚴(yán)重影響，因此是對(duì)攻擊者極具吸引力的目標(biāo)。無論是希望未雨綢繆還是主動(dòng)抵御攻擊，企業(yè)都需要快速、簡(jiǎn)單、有效地抵御廣泛的DDoS攻擊，以保持員工生產(chǎn)力、保護(hù)在線業(yè)務(wù)并保護(hù)服務(wù)。