通过高防IP过滤防御DDoS攻击的方法

今天，随着大量可连网智能设备的加速普及，这些智能设备被暴露出诸多的安全漏洞，甚至变成了DDoS攻击大军中的一员，就像此前将半个美国网络搞瘫的Mirai僵尸网络攻击一样。

不过，在Mirai源代码被蓄意公开之前，可连网智能设备被用于大规模DDoS攻击的情况并不多见。可是现在的情况在Mirai源代码公开后，显然已经发生了巨大变化，不法黑客掌控可联网设备的僵尸网络迅速拓张了其规模与攻击威力。这时一旦这些设备或网络受到危害并用于恶意目的，企业将无法进行有效的防护。

这时，企业可以如果部署有一个可以持续监测并主动过滤受僵尸网络控制IP地址的网关，通过与威胁情报联动，持续更新不良IP地址数据库，就会掌握哪些IP地址已经被僵尸网络所控制或被其他恶意软件入侵。当来自这些恶意IP地址的流量抵达网关时，该网关能够以高达10GB的线速自动过滤掉恶意流量，防止其到达防火墙，大大提升防火墙和相关安全解决方案的效率。这样将极大减少防火墙等周边保护工具和网络自身的工作负载，将企业遭受攻击的风险降至最低。

Ixia的防DDoS方案可由两部分组成，即硬件与系统。硬件为ThreatARMOR智能网关，可部署在现场做硬件拦截。系统为应用与威胁情报（ATI）系统，是一个基于云的识别系统，也是远端的智能库，可识别出受僵尸网络控制的CC服务器以及被控制设备的IP地址，并且会把这些IP地址推送到Ixia的智能防护网关设备上，利用这些设备直接拦截恶意的IP地址。

在抵御DDoS攻击时，利用这种IP过滤的方式，至少能够将1/3的恶意流量进行过滤，这可为企业网络防护节省出大量的投资成本，并提升网络的整体防御能力。而且通过过滤、拦截恶意IP地址还可阻止企业网络中那些已遭入侵的设备与黑客的指挥与控制中心进行通讯，防止这些设备被用作其他DDoS攻击的帮凶，也能及时遏制潜在的数据泄露。