DDoS攻擊愈演愈烈，攻擊的規(guī)模也越來越大。用戶應(yīng)該如何選擇DDoS流量清洗方案、產(chǎn)品，才能避免無謂的設(shè)備采購，最終選擇適合自己的產(chǎn)品，達(dá)到控制成本的同時(shí)又能有效防御DDoS攻擊。本文闡述了DDoS流量清洗產(chǎn)品選型的七大誤區(qū)，以及相應(yīng)的注意事項(xiàng)。

誤區(qū)一：選擇防火墻或入侵檢測IPS來清洗DDoS

分析：防火墻與入侵檢測IPS通常串行部署在網(wǎng)絡(luò)下游的網(wǎng)關(guān)位置，是基于狀態(tài)檢測的訪問控制系統(tǒng)，本身就是DDoS的攻擊目標(biāo)，在新建連接與狀態(tài)連接耗盡時(shí)成為瓶頸。

DDoS最佳防護(hù)實(shí)踐就是：流量清洗中心加上運(yùn)營商BGP路由調(diào)度控制;

誤區(qū)二：選擇清洗設(shè)備的性能遠(yuǎn)高于自己的出口帶寬

分析：有些客戶網(wǎng)絡(luò)出口帶寬只有100M，廠商卻推薦選擇1G甚至4G清洗設(shè)備。

標(biāo)準(zhǔn)的云清洗說法是本地清洗應(yīng)用型DDoS攻擊，云端清洗流量型DDoS攻擊。

誤區(qū)三：選擇清洗系統(tǒng)時(shí)只看設(shè)備硬件指標(biāo)，忽視廠家攻擊清洗技術(shù)專業(yè)能力

分析：廠家缺乏有經(jīng)驗(yàn)和技能的清洗專家，不具備與上游運(yùn)營商實(shí)時(shí)溝通，快速檢測攻擊與攻擊應(yīng)急災(zāi)備能力。客戶只是買到一個(gè)硬件盒子，平時(shí)沒人看，急用現(xiàn)調(diào)試。

DDoS清洗的最佳實(shí)踐理念是“三分產(chǎn)品技術(shù)，七分設(shè)計(jì)服務(wù)”。

誤區(qū)四：選擇清洗設(shè)備時(shí)只看端口吞吐量性能，忽視小包處理能力與正則匹配下的處理性能。

分析：清洗設(shè)備標(biāo)稱的處理性能指標(biāo)通常是實(shí)驗(yàn)室測試標(biāo)準(zhǔn)，在現(xiàn)網(wǎng)實(shí)際小包攻擊與正則匹配下性能劇降，10G性能指標(biāo)的清洗設(shè)備現(xiàn)網(wǎng)小包清洗能力不過4G左右。

誤區(qū)五：選擇清洗系統(tǒng)只看硬件清洗異常流量性能，忽視清洗后正常業(yè)務(wù)流量的通過性能。

分析：清洗設(shè)備沒有可預(yù)期的正常流量通過能力，當(dāng)清洗DDoS系統(tǒng)的硬件資源被異常流量占用時(shí)，正常流量通過能力劇降，系統(tǒng)無法預(yù)設(shè)與分配處理異常流量與正常流量的硬件資源配置。

誤區(qū)六：選擇DDoS云清洗服務(wù)同時(shí)希望提供加速等一攬子其他功能。

分析：應(yīng)用加速與流量清洗在同一個(gè)數(shù)據(jù)中心出口下處理時(shí)相互干擾。在他人被攻擊時(shí)，自己易受影響。

應(yīng)用加速與流量清洗在小規(guī)模攻擊的情況下同時(shí)提供比較現(xiàn)實(shí)。

誤區(qū)七：選擇云清洗服務(wù)商的清洗位置過于靠近下游，且不具備BGP路由調(diào)度控制能力。

分析：大規(guī)模DDoS攻擊發(fā)生時(shí)，整個(gè)網(wǎng)絡(luò)上下游均出現(xiàn)故障，客戶最大的問題是不知道電話打給誰去解決。

云清洗服務(wù)商需要具備自治域AS號進(jìn)行BGP路由調(diào)度控制與DNS全網(wǎng)策略控制能力，才能帶給客戶網(wǎng)絡(luò)服務(wù)可用性一片合泰云天。