“云”清洗防御DDoS

　　信息安全知名博客 赛道(www.sectao.net)指出：回顾Anti-DDoS解决方案的发展过程可以发现，在2000年时互联网刚刚兴起，用户通常采用DDoS防火墙即可有效抵御攻击。而在2005年，随着Web 2.0的蓬勃发展，托管服务安全供应商(MSSP)成为了那一时代的非常好的解决方案。如今进入了云计算时代，通过SaaS(安全既服务)的方式实现“云”清洗将成为最有效的解决方案。

　　Arbor和思科的合作从2000年就开始了，早在Clean Pipes 1.0 和 1.5.中，Arbor Peakflow SP产品用于攻击检测。在Clean Pipes 2.0中，Arbor Peakflow SP 将被用于异常流量检测，而TMS则用于对DDoS攻击流量的手术式清洗，两者结合系统性的实现“云”清洗。

　　简而言之，在Clean Pipes 2.0中，Arbor Peakflow SP是一个流量采集器。通过多个采集器的流量对比，识别DDoS攻击，同时确定攻击特性。从技术角度来看，Arbor Peakflow SP是一种基于Netflow的异常流量检测设备。它从网络中的路由交换设备中获取Netflow信息，不断地基于Netflow统计表建立合法流量基线模板。通过流量与基线模板相比较，任何偏差都会被作为异常情况被识别和警报，从而进一步采取防御措施，包括通知网络管理人员，或启动攻击抵御设备的DDoS保护功能。

　　当网络在正常情况下运行时，Netflow会产生大量的网络流量数据分析图，并建立基线模型，用于流量异常检测。当遭受到DDoS攻击时，Netflow信息统计表将会显示出与基线模型的偏差，这就是受到攻击的第一个信号。通过更多详细的流量信息，可以进一步分析流量模式和行为。一旦异常流量被识别，Anti-DDoS“云”清洗系统可以通过自动或手动的方式启动DDoS防御策略。

　　当Netflow应用于Anti-DDoS“云”清洗系统时，NetFlow常常被部署在SP或者企业网络的边缘，监控边缘以及对等接口的带内流量，因为对于大部分攻击，这些是典型的入口点。路由器会保留在线NetFlow缓存区跟踪当下流量。IP流量信息从NetFlow缓冲区中输出，然后进入外部采集器做进一步分析。

　　图：DDoS防御已经进入到第三阶段—“云”清洗

　　Frost & Sullivan专业评论发文DDoS清洗救援行动 “DDoS Mitigation to the Rescue” ，文中指出：鉴于Arbor独有的运营商级部署与ATLAS威胁可见性的经验数据积累，思科决定公开推荐Arbor作为Guard清洗中心客户的升级解决方案。

　　第三代基于"云"计算的清洗中心主要四大特点：

　　一：智能检测分析系统与清洗中心一体化，基于运营商级的全网监控系统统一控制流量的流向并决定清洗行动。提高了预见性与准确性。

　　二："云"清洗系统针对应用层的攻击防护具有特别设计包括(DNS， HTTP， SIP 等)，并率先支持下一代IPv6的网络环境。

　　三："云"清洗系统具有异常流量的溯源能力并结合ATLAS威胁数据库与指纹机制实时防范最新攻击，包括零日Zero-day攻击;

　　四："云"清洗系统针对被保护对象的自服务门户功能为运营商大范围提供异常流量清洗服务提供了基础，改善了购买DDoS服务的用户体验。