CTI論壇(ctiforum)7月30日消息（記者 李文杰):如今，公司和組織機構需要對網絡上許多不同類型的DDoS攻擊有所準備。近日，瞻博網絡正式發(fā)布數(shù)項全新的增強功能，這些增強功能將路由器作為執(zhí)行點，使DDoS Secure解決方案能夠幫助網絡更好地防御攻擊。

　　DDoS 攻擊呈上升趨勢

　　在容量攻擊潛在地淹沒管道容量和攻陷邊緣設備并竊取背后受保護的資源情況下，在更靠近攻擊源的路由器化解容量攻擊便顯得非常重要。如果在邊緣準確地檢測到攻擊，然后傳達給上游路由基礎設施，公司便可以在靠近攻擊源的位置有效地阻止惡意流量，而且不會中斷正常的服務，從而達到理想的防御效果。這種策略不但對緩減分布式拒絕服務（DDoS）攻擊非常有效，而且對于確保DNS可用性也成效顯著。

　　但是，容量攻擊僅僅是問題的一部分。 基于DNS的針對性攻擊對于企業(yè)和服務提供商同樣是一大問題。現(xiàn)在，攻擊者可以通過多種方法，借助 DNS 摧毀網絡�？紤]到服務提供商的核心DNS基礎設施，DNS 放大/反射攻擊（DNS基礎設施參與攻擊）或消耗攻擊（DNS基礎設施自身遭受攻擊）可能會導致網絡運營停止，并對收入帶來嚴重的影響。例如，正如我們今年早些時候看到的Spamhaus和NTP攻擊一樣，當攻擊放大到100倍量級的GB時，唯一的補救措施是在上游阻止攻擊流量。

　　網絡自身防御 DDoS

　　緩解DNS攻擊需要采取整體策略。在網絡邊緣本地檢測攻擊的同時，還必須在路由器的上游更有效地緩解攻擊。離網絡邊界越遠，效果越好。這種組合拳可以最有效地防御DNS放大和反射攻擊。

　　但這是如何做到的呢？邊界網關協(xié)議（Border Gateway Protocol, BGP）Flowspec是一種標準路由協(xié)議，該協(xié)議提供的機制可以在路由基礎設施正確地與本地DDoS解決方案相集成的情況下緩解DDoS攻擊。BGP Flowspec的粒度功能不但可以向下游的企業(yè)或數(shù)據中心提供干凈的管道，而且還可以盡可能靠近攻擊源阻止惡意流量。Flowspec的粒度使運營商能夠在上游的惡意流量攻擊鏈接之前，只清除這些惡意流量，不需要將所有流量轉移到數(shù)據清理中心。

　　瞻博網絡之路

　　瞻博網絡的MX路由器具備BGP功能，為DDoS Secure提供了理想的補充。通過 BGP Flowspec集成DDoS Secure和MX擴展了本地的應用程序層保護，使之包括從上游緩解更大規(guī)模的攻擊�；�于啟發(fā)法的智能和針對MX上游執(zhí)行的粒度攻擊過濾規(guī)則的這種組合效應，可以保證網絡不存在攻擊流量，而且不中斷正常的服務，同時使運營干預保持在最低水平。

　　瞻博網絡DDoS Secure是利用基于啟發(fā)法的DNS攻擊檢測方法并將緩解功能與上游MX路由器相結合的唯一解決方案，實現(xiàn)了靠近攻擊源進行粒度、高效和分布式保護。將過濾器擴展到網絡邊界，使運營商能夠處理威脅網絡重要服務（例如DNS）可用性的大規(guī)模DDoS攻擊。使用這種組合式的本地和網絡檢測與緩解攻擊策略，可以化解所DDoS攻擊--無論是基于DNS的攻擊還是其他攻擊。