依賴 ISP 進行 DDoS 保護是個壞主意的 5 個原因

2021/09/06 | Imperva News

分散式阻斷服務攻擊 (DDoS)

使目標伺服器的網路或系統資源耗盡、服務暫時中斷或停止,導致其使用者無法正常存取。曾經被認為是個單純的惡作劇行為,如今 DDoS 攻擊已成為網絡犯罪分子賺取收入的工具。也被視為網上最強大的武器之一,因為網絡犯罪分子可以隨意使用,影響網站服務或資源的任何部分。

IMPERVA 研究實驗室報告指出,從 2020 年第四季到 2021 年第一季度,DDoS 攻擊行為增加了 286%。安全團隊努力減輕這些攻擊,但在阻止這些攻擊時,駭客也調整了他們的策略。它們發現許多組織依靠他們的網路服務供應商 (ISP) 來防禦 DDoS的攻擊,但這通常是 ISP 相對低成本的附加服務。黑客也非常清楚這一點,因此他們將 ISP 列為 DDoS 攻擊的首要目標。

在 2021 年 5 月,比利時 ISP BelNet 遭受大規模 DDoS 攻擊,影響範圍從政府、醫療單位至學術機構在內,超過 200 個組織的服務中斷。大規模的 DDoS 攻擊,儘管它們只是送出大量的封包,而非使用高階的 DDoS 攻擊。但造成結果是大量的服務中斷,損失無法估計。

ISP 的重心放在主要技術服務。DDoS 攻擊保護只是一項附帶的服務,他們只提供相對低成本的基礎保護,這些保護也許可以阻止最基本的 DDoS 攻擊。但選擇專業 DDoS 保護商,您可以達到 ISP 無法做到的方式降低風險。

以下是選擇安全第一供應商比依賴 ISP 更明智的五個原因:

    • 您的組織不是 ISP 的首要任務

      如果 ISP 檢測到大量流量經過其網絡,他們可能會阻止所有流量,在某種程度上,ISP 變向幫助攻擊者實現了中斷網站服務的目的。

    • 您的 ISP 的頻寬有限

      對於受到 DDoS 攻擊的 ISP,正如我們提到的,默認配置是阻止全部的流量進入。作為安全第一的供應商應該具備的是能夠將流量分散到多個 ISP 上,並利用多個數據中心的大量頻寬來吸收攻擊。

    • ISP 無法防止協議攻擊

      作為一個組織,您很容易受到消耗實際伺服器資源或中間通信設備 (如防火牆和負載均衡器) 資源的 SYN-flood、碎片式封包攻擊、Ping of Death、Smurf DDoS 等攻擊。ISP 無法防範這些攻擊。也無法防禦更高級 DDoS 攻擊,例如突發攻擊、動態 IP 攻擊。

    • ISP 沒有義務提供 “最大努力” 來阻止攻擊

      DDoS 攻擊使服務停止後的代價高昂,因此響應時間越快越好。ISP 不提供確切的攻擊檢測時間、清洗時間及清洗多少流量的服務級別協議 (SLA)。僅延誤一項就可能付出不小的代價。

    • DDoS 的防護不是 ISP 的主要核心

      DDoS 攻擊具有獨特的特徵,開發並緩解這些攻擊,最大程度降低其對客戶影響的方法,需要專業的供應商的技能和專業知識。一個好的供應商會及時了解新的攻擊方法和趨勢,並擁有可供使用的工具來快速有效地應對攻擊。

想了解更多產品訊息? 立即點選下方按鈕”聯絡亞利安”並訂閱最新快訊