安全
为您的网络接种疫苗,防止DDoS攻击的传播
亚博yabo888vip网页版CableLabs开发了一种从源头上缓解分布式拒绝服务(DDoS)攻击的方法,在它们成为问题之前。通过从源头阻止这些设备,服务提供商可以帮助客户识别和修复网络上受损的设备。
DDoS威胁日益严重
DDoS攻击和其他网络攻击给运营商造成了数十亿美元的损失,这些攻击的影响在规模和规模上持续增长,有些攻击超过了1 Tbps。物联网(IoT)设备的数量也在持续快速增长,许多设备安全性较差,且上游带宽不断增加;这场完美风暴导致物联网攻击呈指数级增长,仅在2016年至2017年期间,增幅就超过了600%.随着物联网设备数量的估计增加从2016年的50亿到2020年的200多亿在美国,我们可以预计攻击数量将继续呈上升趋势。
随着应用程序和服务转移到云端,以及对连接设备的依赖增加,DDoS攻击的影响可能会继续恶化。
可编程数据平面使能
不要绝望!新技术带来新解决方案。我们可以从源头阻止攻击,而不是在攻击全力攻击的目标上减轻攻击。使用P4一种用于管理网络流量的编程语言,它可以更新交换机和路由器的功能,以提供当前交换机所不具备的功能。通过将P4程序与为高速运行这些程序而构建的asic相结合,我们可以在不牺牲网络性能的情况下做到这一点。
随着服务提供商使用可定制的交换机和边缘计算功能更新其网络,他们可以通过软件更新推出这些新功能。
与传统DDoS缓解解决方案的比较
功能 | 透明的安全 | 典型DDoS解决方案 |
减轻入口流量 | X | X |
减轻出口流量 | X | |
部署在网络对等点 | X | X |
部署在轮毂/前端 | X | |
部署在客户现场 | X | |
需要专门的硬件 | X | |
使用白盒开关缓解 | X | |
与客户网关一起工作 | X | |
识别攻击设备 | X | |
减轻攻击的时间 | 秒 | 分钟 |
包头采样率 | 100% | < 0.1% |
透明安全可以减少网络中每个点(从客户场所到网络核心)的入口和出口流量。为了减轻入口攻击,典型的DDoS缓解解决方案仅部署在网络边缘。这意味着他们不保护网络免受内部DDoS攻击,并允许他们的网络被武器化。
透明安全运行在网关的白盒交换机和软件上。这提供了各种各样的供应商选项,并与开放标准(如P4)兼容。典型的解决方案通常依赖于购买称为洗涤器的专用硬件。在客户场所部署这些是不可行的。最后,透明安全可以查看每个出口数据包的报头,以快速识别来自服务提供商网络的攻击。典型的解决方案仅从5000个包中抽取1个样本。
刚刚开始
透明安全只是一个开始,而且是可以用来改善宽带服务的众多解决方案之一。通过可编程数据平面,网络管理将变得更加智能,新的服务也将受益,从微网络到防火墙和托管路由器即服务。
加入项目
亚博yabo888vip网页版CableLabs正在邀请成员和供应商定义透明安全组件之间的接口。这将创建一个与广泛的供应商生态系统互操作的解决方案。下图中的snc - dashboard、AE-SDNC、snc - switch和Switch-AE接口已经为初始迭代确定。白皮书的第6节详细描述了这些接口。
透明安全体系结构和接口定义将随着时间的推移而扩展,以支持更多的用例。这些接口尽可能利用现有的行业标准。
你可以看到相关的项目在这里.您可以找到更多关于10G和安全的信息在这里.