有多种方法可以保护您的网络和/或应用程序免受 DDoS 攻击。这里的主要挑战是我们如何区分合法流量和恶意流量。目前有许多 DDoS 缓解方法可用于应对这一挑战,每种方法都有自己的优点和缺点。然而,当今最常见的 DDoS 防护方法有三种:清洁管道法、CDN 稀释法和 TCP/UDP-DDoS 代理:,, 清洁管道 DDoS 保护,清洁管道方法的核心是让所有传入的流量通过一个“清洁管道”,也称为洗涤中心。在这个干净的管道中,将恶意流量与合法流量区分开来,只允许合法用户流量进入网络服务器。Clean Pipe 保护方法现在非常流行,并由许多 ISP 和 DDoS 缓解服务提供。过去,ISP 通常使用黑洞来缓解传入的 DDoS 攻击 ,其中包括合法流量在内的所有流量都被完全否定。但是,清洁管道保护方法存在一些弱点,即:,1.它们部署起来非常困难且昂贵。您需要一个 BGP(边界网关协议路由器)和能够终止 GRE 隧道的硬件。如今,我们可以使用基于云的服务来解决这个问题,但它们往往非常昂贵。,2.Clean Pipe 方法涉及将流量重新路由到清洁管道/清洗中心,因此依赖于正确的 DDoS 检测。此外,重新路由过程从重新路由到缓解过程可能需要至少几分钟的时间。,3.Clean Pipe 方法在防止基于数据包和应用程序泛洪攻击(第 7 层 DDoS 攻击)方面不是很有效。,4.尽管比黑洞好得多,但在允许合法流量方面,Clean Pipe 涉及混合客户端和服务器端流量,因此缓解配置文件可能非常复杂,因此它可能会引入许多误报(合法流量被阻止) .,然而,清洁管道方法是最通用的,支持几乎所有类型的应用程序。我们可以将 Clean Pipe 方法视为一种全面的、万事通的 DDoS 保护方法,但它缺乏针对特定应用程序的高级保护(也就是说,它是无所不能的)。, CDN 稀释 DDoS 保护,CDN,即内容交付网络,是一个向用户提供内容的分布式网络系统。因此,离用户最近的服务器将响应请求,而不是您的原始服务器。因此,CDN 系统在保护系统免受 DDoS 攻击方面具有两个关键优势:首先,由于涉及大量服务器,因此带宽总和要大得多。CDN 技术具有巨大的带宽,可以有效吸收第 3 层或第 4 层 DDoS 攻击(或容量 DDoS 攻击)。其次,原始服务器不是响应用户请求的服务器,因此任何 DDoS 攻击都很难到达该服务器。这并不是说 CDN 稀释是完美的,因为也有一些缺点:,1.CDN 稀释服务成本高昂,并且可能涉及许多隐藏成本,尤其是因为您涉及使用第三方网络,2.与 DDoS 保护没有直接关系,某些国家/地区已屏蔽了流行 CDN 的 IP 地址,因此某些国家/地区的受众可能无法访问您的站点。,3.如果 CDN 服务器关闭(这是可能的),源服务器很容易受到 DDoS 攻击。,4.CDN 仅适用于 Web 应用程序,您不能在专有 TCP/UDP 应用程序上使用它,但是,CDN 服务器是应用程序上下文感知的,并且与 Clean Pipe(无前置时间)相比,动作更快。因此,除非您使用专有 TCP/UDP 应用程序,否则 CDN 稀释可能是一个很好的 DDoS 保护解决方案。, TCP/UDP 代理 DDoS 防护,如果您的网站/平台包含 TCP 或 UDP 服务,例如电子邮件 (SMTP)、SSH 访问、游戏服务等,请了解它们的开放端口可能意味着 DDoS 攻击的漏洞。为了解决这个问题,放置了一个基于 TCP/UDP 的代理,其工作方式类似于基于 CDN 稀释的保护。在这种方法中,数据包被发送到 TCP/UDP 反向代理,然后过滤掉恶意流量和数据包。与之前的两种 DDoS 保护方法一样,这种方法也有缺点:,1.后端的源 IP 将更改。由于我们无法获得真实访问者的 IP,这可能是一个额外的漏洞。,2.TCP/UDP 代理的配置基于每个应用程序而不是每个域(如 CDN 稀释)。,3.与 CDN 稀释相比,它更容易出现误报(在这方面与 Clean Pipe 方法非常相似)。,4.不提供网络粒度,TCP/UDP...
今天的分布式拒绝服务 (DDoS) 攻击与早期的攻击几乎无法识别,当时大多数是简单的、大规模的攻击,旨在造成尴尬和短暂的中断。攻击背后的动机越来越不清楚,技术变得越来越复杂,攻击频率呈指数级增长。考虑到自动攻击尤其如此,自动攻击允许攻击者以比任何人类或传统 IT 安全解决方案响应的速度更快的速度切换向量。,,现代攻击的规模、频率和持续时间的组合对任何在线组织都构成了严重的安全性和可用性挑战。几分钟甚至几十分钟的停机或延迟会显着影响基本服务的交付。当您将这些因素结合起来时,受害者将面临重大的安全性和服务可用性挑战。以下是确保您的网络免受 DDoS 攻击的七个注意事项。,1、记录您的 DDoS 弹性计划:这些弹性计划应包括技术能力,以及概述如何在成功拒绝服务攻击的压力下继续业务运营的综合计划。事件响应团队应建立并记录与企业的沟通方法,包括组织所有分支机构的关键决策者,以确保相应地通知和咨询关键利益相关者。,2、识别 DDoS 攻击活动:大型、高容量 DDoS 攻击并不是 DDoS 活动的唯一形式。黑客通常会发起短期、小规模的攻击,以对您的网络进行压力测试,并在您的安全范围内发现安全漏洞。了解您的网络流量模式并寻找可实时识别 DDoS 攻击流量并立即消除大大小小的 DDoS 攻击的DDoS 攻击防护解决方案。,3、不要认为只有大规模的容量攻击才是问题所在:DDoS 攻击者变得越来越老练;他们的目标不仅是瘫痪网站,而且是通过低带宽、不饱和的 DDoS 攻击来分散 IT 安全人员的注意力,这种攻击是更邪恶的网络渗透(例如勒索软件)的烟幕弹。此类攻击通常持续时间短(不到 5 分钟)且规模大,这意味着它们很容易在雷达下溜走,而不会被流量监控器甚至某些 DDoS 保护系统检测到或缓解。,4、不要依赖流量监控或阈值:当然,您可以注意到流量高峰时,但您能区分好流量和坏流量吗?如果你真的看到了一个尖峰,你会怎么做?您能否仅阻止不良流量,或者您的网络资源是否会不堪重负?监控您的流量和设置阈值限制不是一种保护形式,尤其是当您考虑到阈值触发器通常不会注意到小的、不饱和的攻击时。,5、不要依赖 IPS 或防火墙:入侵防御系统(IPS) 和防火墙都无法保护您。即使是声称内置了抗 DDoS 功能的防火墙也只有一种阻止攻击的方法:使用不加区分的阈值。当达到阈值限制时,使用该端口的每个应用程序和每个用户都会被阻止,从而导致中断。攻击者知道这是与攻击者一起阻止好用户的有效方法。由于网络和应用可用性受到影响,拒绝服务的最终目标得以实现。,6、与缓解提供商合作:今天,许多 ISP 提供DDoS 保护计划,作为增值服务或高级服务。了解您的 ISP 提供免费还是付费的 DDoS 保护计划。但是在您受到攻击之前很久就联系您的 ISP;如果您没有适当的 DDoS 保护并且已经受到攻击,您的 ISP 可能无法立即注册您然后阻止 DDoS 流量到您的站点。或者,您可以购买本地或虚拟 DDoS 保护产品。DDoS 保护具有多种部署可能性;通过本地防 DDoS 设备或虚拟机 (VM)实例。请务必寻找丰富的实时 DDoS 安全事件分析和报告以及自动缓解。,7、将缓解时间与成功的攻击保护相结合:当您制定弹性计划并选择 DDoS 保护方法时,缓解时间必须是您决策过程中的关键因素。请记住,DDoS 缓解服务可以作为自动化 DDoS 缓解解决方案的有用辅助工具。但是,仅靠缓解服务是不够的,因为 1) 在使用服务之前,某人或某物(计算机或人)必须检测到正在进行的 DDoS 攻击,以及 2) 重定向“不良”流量需要 20-30 分钟,从而允许在此期间发生更多恶意的安全漏洞。面对 DDoS 攻击,时间至关重要。等待几分钟、几十分钟甚至更多时间来缓解 DDoS 攻击都不足以确保服务可用性或安全性。, ,今天的分布式拒绝服务 (DDoS) 攻击与早期的攻击几乎无法识别,当时大多数是简单的、大规模的攻击,旨在造成尴尬和短暂的中断。攻击背后的动机越来越不清楚,技术变得越来越复杂,攻击频率呈指数级增长。考虑到自动攻击尤其如此,自动攻击允许攻击者以比任何人类或传统 IT 安全解决方案响应的速度更快的速度切换向量。,,
不可否认,保护您的业务和网站数据免受恶意黑客攻击的重要性。不幸的是,如果您有一个没有 DDoS 保护的专用服务器,那么您很有可能成为 DDoS(分布式拒绝服务)攻击的受害者;这些攻击几乎可以来自任何地方,旨在使您公司的网站或其他数据无用或无法访问。不幸的是,尝试 DDoS 攻击的数量只是在增加(增加了 27% 之多),而且短期内没有放缓的迹象。,,关于 DDoS 安全,出于这些原因,我们已开始采取措施更好地保护我们的用户免受黑客攻击和 DDoS 攻击。例如,我们很自豪能够为我们所有的专用服务器提供标准的、包含在内的 DDoS 保护。这为高达 10Gbps 的攻击提供了保护。,以下是 DDoS 保护的工作原理:,进入您网站的所有流量都通过我们先进的筛选技术进行扫描。从那里,检测到的任何恶意流量都将在有机会到达您的专用服务器之前被自动阻止。然后,所有干净的流量都会照常发送到您的服务器,这样您的合法访问者就不会遇到任何类型的服务中断。这种无缝的 DDoS 保护非常适合为您的站点和服务器提供额外的(也是急需的)安全层。,尽管其他提供商可能会要求您为 DDoS 保护支付额外费用,但我们很乐意免费提供,因为我们坚信每个网站和企业所有者都应该拥有这一重要级别的保护。但是,我们还为那些对额外覆盖范围感兴趣的人提供针对高达 100Gbps 的更大攻击的企业保护。此覆盖范围包括负担得起的按 IP 定价和内部过滤,因此您不会遇到任何额外的延迟。, ,不可否认,保护您的业务和网站数据免受恶意黑客攻击的重要性。不幸的是,如果您有一个没有 DDoS 保护的专用服务器,那么您很有可能成为 DDoS(分布式拒绝服务)攻击的受害者;这些攻击几乎可以来自任何地方,旨在使您公司的网站或其他数据无用或无法访问。不幸的是,尝试 DDoS 攻击的数量只是在增加(增加了 27% 之多),而且短期内没有放缓的迹象。,进入您网站的所有流量都通过我们先进的筛选技术进行扫描。从那里,检测到的任何恶意流量都将在有机会到达您的专用服务器之前被自动阻止。然后,所有干净的流量都会照常发送到您的服务器,这样您的合法访问者就不会遇到任何类型的服务中断。这种无缝的 DDoS 保护非常适合为您的站点和服务器提供额外的(也是急需的)安全层。,
如今,分布式拒绝服务 (DDoS) 攻击对各种规模和范围的网站构成了非常现实的威胁。如果您的专用服务器还没有至少具备某种基本形式的 DDoS 保护,那么现在是时候实现这一点了。我们很自豪能够通过我们所有的专用托管计划提供免费的标准 DDoS 保护;这可以防止高达 10 gbps 的攻击。我们还为有更高安全需求的用户提供升级保护。,,我们还有一个方便的工具,称为 DDoS 预测工具,我们鼓励我们所有的专用服务器用户和客户每天检查有关当前 DDoS 攻击风险的重要信息。, 什么是 DDoS 预测工具?,具体来说,我们的DDoS 预测工具旨在帮助根据最近的趋势评估 DDoS 攻击的当前和未来可能性。我们会定期更新我们的预测工具,因此我们鼓励您每天或多次查看以获取最准确的信息。我们还提供有关预测历史的便捷图表和其他信息,包括过去几天、几周和几个月的预测数据。, 如何理解DDoS预测,当您访问预测工具链接时,您会在页面顶部看到“今天的预测”,以及“下雨概率”百分比和当前温度。阅读预报时,请了解下雨的可能性越大,预计当天的袭击频率就越高。同样,温度越高,预期的攻击强度就越高。真的就是这么简单!, 需要为您的帐户添加更多 DDoS 保护?,密切关注我们的 DDoS 预测是更好地了解您的站点当前可能面临的安全风险的最佳方式。这也是考虑您的站点是否受到适当保护以免受 DDoS 攻击的好时机,这些攻击可能会淹没您的服务器并影响您的用户访问您的站点及其服务的能力。,,虽然我们的所有专用主机帐户都包含免费的标准 DDoS 保护,但我们通常建议根据您的特定需求升级您的保护。不幸的是,攻击网站的速度为 100 gbps 或更高的攻击并非闻所未闻,因此您需要确保为比您想象的更大的攻击做好准备。, ,如今,分布式拒绝服务 (DDoS) 攻击对各种规模和范围的网站构成了非常现实的威胁。如果您的专用服务器还没有至少具备某种基本形式的 DDoS 保护,那么现在是时候实现这一点了。我们很自豪能够通过我们所有的专用托管计划提供免费的标准 DDoS 保护;这可以防止高达 10 gbps 的攻击。我们还为有更高安全需求的用户提供升级保护。, 如何理解DDoS预测,
DDoS 攻击是当今潜伏在网络中的一个非常真实的威胁。如果您有专用服务器,则需要确保您采取了所有必要的步骤来保护自己免受 DDoS 攻击。不幸的是,由于 DDoS 攻击的规模和范围似乎每天都在增长,因此无法 100% 保证您永远不会成为此类攻击的受害者。尽管如此,您仍然可以采取一些步骤和技术来最大限度地保护您。,, 通过使用免费的标准 DDoS 保护,首先,确保您的托管计划提供某种形式的 DDoS 保护,并且您正在利用该功能。例如,使用服务器,您可以通过所有专用托管计划享受免费的标准 DDoS 保护。除此之外,您可以根据需要保护的攻击规模根据需要购买额外的保护。, 设置备份灾难恢复站点,DDoS 攻击可能导致您的整个服务器崩溃,甚至可能影响您访问文件的能力。这就是为什么拥有一个单独的备份灾难恢复站点总是一个好主意,您可以在其中 存储重要文件和其他数据的备份。理想情况下,该站点应位于完全独立的服务器上,但有很多选项可用于创建备份恢复站点,而无需您购买单独的托管包。这个想法是有一个安全的地方来存储您的数据副本,以防您的主服务器上的任何数据受到 DDoS 攻击。, 考虑即时服务器,即时服务器(也称为快速部署系统)正变得像虚拟云一样易于部署,但没有共享虚拟环境的限制。除了已经为每台服务器提供的标准 DDoS 保护之外,它们还具有诸如本机托管 API、自动操作系统安装程序和内置硬件健康和安全漏洞扫描程序等功能,它们越来越受欢迎,并且可能值得你也有时间研究一下。,, 实施 DDoS 保护措施,除了采用这些不同的技术之外,您还可以采取一些额外的措施来保护您的站点和服务器免受 DDoS 攻击。例如,确保您了解 DDoS 攻击的常见迹象,以便您能够尽快做出响应。通常,DDoS 攻击以页面加载速度慢和某些页面甚至无法完全加载等迹象开始。普通网站访问者甚至可能会在访问该网站时也遇到问题时通知您。如果您的网站上有任何 DDoS 攻击迹象,最好的做法是尽快联系您的虚拟主机。, ,DDoS 攻击是当今潜伏在网络中的一个非常真实的威胁。如果您有专用服务器,则需要确保您采取了所有必要的步骤来保护自己免受 DDoS 攻击。不幸的是,由于 DDoS 攻击的规模和范围似乎每天都在增长,因此无法 100% 保证您永远不会成为此类攻击的受害者。尽管如此,您仍然可以采取一些步骤和技术来最大限度地保护您。,DDoS 攻击可能导致您的整个服务器崩溃,甚至可能影响您访问文件的能力。这就是为什么拥有一个单独的备份灾难恢复站点总是一个好主意,您可以在其中 存储重要文件和其他数据的备份。理想情况下,该站点应位于完全独立的服务器上,但有很多选项可用于创建备份恢复站点,而无需您购买单独的托管包。这个想法是有一个安全的地方来存储您的数据副本,以防您的主服务器上的任何数据受到 DDoS 攻击。,
不要让 DDoS 攻击因声誉和经济损失而中断您的业务运营。使用基于云的拒绝服务保护来防止被黑客入侵。任何有恶意的人都可以聘请黑客服务进行有针对性的攻击。恶意软件工具易于访问、易于使用且有效。不仅是大公司,网络犯罪分子也在寻找任何规模的易受攻击的受害者,包括个人博客、电子商务商店、中小型企业。,,一种类型的攻击特别危险并且越来越普遍。它被称为分布式拒绝服务攻击,简称DDoS。在 DDoS 攻击中,一组受损的分布式系统——可能是服务器、家用计算机、物联网设备、任何连接到互联网的设备——被用来用大量请求压倒目标系统,直到受攻击的系统会饱和到足以拒绝工作。,由于洪水来自许多分散的来源,因此很难识别攻击者或减轻攻击。DDoS 攻击是不可预测的,一些最新的攻击非常危险。它在800 到 900 Gbps的范围内。攻击者可以使用多种技术对您的在线业务进行 DDoS 攻击。以下是一些受欢迎的。,攻击的原因可能有很多。首先,受害者是精心挑选的;他们永远不会随机选择。也许竞争对手想把你踢出去,或者有人非常不喜欢你发布的内容——任何借口都足以让某人投资数百美元来攻击你的网站。, 如何防范 DDoS 攻击?,如果您拥有一家拥有同样小型网站的小型企业,或者您经营博客或个人网站,那么您需要采取措施避免成为 DDoS 攻击的受害者。一种选择是聘请 MSSP(托管安全服务提供商)来处理所有可能的网络威胁。这包括入侵检测、漏洞扫描、抗病毒服务以及提供防火墙和VPN技术等服务。一个好的 MSSP 会让您高枕无忧,但成本可能很高。如果您已经涵盖了大部分安全基础并且您只需要保护您的站点免受 DDoS 攻击,您可以从您的 ISP 或托管服务提供商处租用 DDoS 保护即服务 (DPaaS)。,,如果您更喜欢 DIY 风格的解决方案,首先要实施的是 DDoS 的检测和缓解。要检测 DDoS 攻击,您需要监控网站的传入流量,并寻找任何可能暗示该过程中存在攻击的模式。流量突然激增可能是一个信号,但您需要确定激增是合法用户流量激增还是 DDoS 攻击的征兆,这并不总是一件容易的事。,一旦检测到真正的 DDoS 攻击,您就可以识别发送非法流量的 IP 地址,并在托管服务提供商或流量过滤设备(如路由器或防火墙)的帮助下阻止它们。听起来很容易,对吧?好吧,如果您考虑到典型的 DDoS 攻击每秒涉及数百万个数据包,您可以得出结论,DIY 选项不可行,您应该聘请负担得起的基于云的 DDoS 保护服务。, DDoS 保护服务如何工作?,一个有效的反DDoS解决方案必须兼顾以下任务:检测、转移、过滤和分析。检测意味着识别可能预示 DDoS 攻击的流量偏差。一个有效的反 DDoS 解决方案应该能够尽快识别攻击,避免误报。,转移意味着将流量重新路由出去,要么丢弃它,要么被过滤掉。通过过滤,我们的意思是清除 DDoS 流量,将其识别为恶意流量。一个有效的反 DDoS 解决方案可以做到这一点,而不会影响您的合法用户的体验。最后,分析是审查流量日志以收集有关攻击的信息,以识别攻击者并增强未来的检测活动。,当您需要比较抗 DDoS 解决方案时,网络容量是需要考虑的重要因素。它以 Gbps(千兆位/秒)或 Tbps(兆位/秒)为单位,表示保护可以承受的攻击强度。基于云的解决方案通常提供每秒 TB 数量级的网络容量。这比任何网站可能需要的要多得多。,服务水平的其他重要衡量标准是转发率和缓解时间。转发速率代表解决方案处理数据包的能力,以每秒数百万个数据包 (Mpps) 为单位。攻击通常达到 300-500 Gbps,有些可以扩展到1 Tbps。防 DDoS 解决方案的处理能力需要高于此才能有效。,,缓解时间因解决方案提供商检测攻击所采用的方法而异。具有先发制人检测功能的始终在线解决方案应该能够提供几乎即时的缓解。但这方面需要在现实生活条件下在现场进行测试。显然,所有这些考虑都必须与成本进行权衡。让我们来看看一些可用的基于云的最佳 DDoS 检测和保护解决方案。, 1、Akamai,Kona DDoS Defender 是Akamai为阻止 DDoS 攻击威胁而提供的基于云的解决方案的名称。它将安全运营中心 (SOC) 的不间断服务与 Akamai 的智能平台相结合,提供高可扩展性并保证网站的持续运行,即使在发生攻击时也是如此。,Akamai 的智能平台分布在世界各地,能够处理全球总 Web 流量的 15% 到 30%。它提供了必要的可扩展性以应对最大规模的 DDoS 攻击。当攻击发生时,Kona DDoS Defender 会自动转移 SYN 或 UDP 洪水并吸收网络外围的 HTTP GET 和 POST 洪水,防止它们到达核心应用程序。, 2、G-Core 实验室,G-Core Labs的全球 DDoS 防护服务功能强大,可保护您的站点、服务器和应用程序免受高级 DDoS 攻击。它在三层提供保护——网络层 ( L3 )、传输层 ( L4 ) 和应用层 ( L7 )。,独特的实时智能流量过滤技术使 G-Core Labs DDoS 防护能够一次性分析统计、签名、技术和行为因素。这使得该解决方案能够准确地检测和切断有害会话,而不是阻止 IP...
DDoS 攻击逐年稳步增加,不仅在数量方面,而且在规模、复杂性和恶意方面。这导致对防止此类攻击的解决方案的需求大幅增长,尤其是托管 DDoS 保护。,尽管许多组织都意识到此类服务的重要性,但选择正确的服务通常很困难。一些经常被问到的问题是:为什么选择托管服务?如何评估 DDoS 防护服务?如何确保所选服务在攻击当天交付?在本文中,我们将帮助您找到这些问题的答案,并使您能够在入职前有效地评估服务。,, 为什么选择托管 DDoS 保护?,DDoS 攻击具有不同的类型、数量、复杂性和恶意。有效缓解它们并保护您的 Web 应用程序/网站免受此类攻击的巨额成本的影响,需要托管缓解服务提供的专业 DDoS 专业知识。仅仅使用自动化 DDoS 防护工具并依靠带宽储备不足以防止攻击。经过认证的安全专家需要持续监控应用程序,并根据不断变化的需求、上下文和实时警报定制和调整规则、工作流等,同时扩展 24x7x365 支持以缓解零日攻击。通过加入 AppTrana 等托管DDoS 攻击防护服务,专家将确保您的网站对合法用户全天候可用,同时您可以专注于您的核心业务。, 要寻找的主要功能:摘要, 评估 DDoS 保护托管服务的步骤, 定义您的需求,DDoS 防护服务的评估必须从您定义您的需求和环境开始。要问自己的一些问题是:,,这种理解将指导您更好地选择解决方案。, 技术评估,技术评估将帮助您了解服务提供商的 DDoS 架构,以及这是否符合您的安全要求。在技术评估中,您必须评估:, 验证稳定性,DDoS 服务提供商具有多租户环境,对一个租户的攻击也会影响其他租户的服务。如果您的组织无法承受延迟甚至短停机时间,您必须验证其稳定性、分析其声誉并要求更长的 POC(概念证明)。, 价钱,分析和评估定价模型以确保没有隐藏成本并确保解决方案符合您的预算限制。, 概念证明 (POC),POC 将使您了解解决方案在现实中的工作原理以及它从纸上转换的效果如何。,, 比较与决策,最后一步是在比较不同的解决方案以及它们满足您需求的程度后做出决定。, 结论,DDoS 攻击对小型公司的平均成本(财务和声誉)估计为 120,000 美元,而对大型企业而言则超过 200 万美元!考虑到造成的中断的严重性和所涉及的巨额成本,防止和保护 Web 应用程序免受 DDoS 攻击势在必行,选择DDoS 保护服务至关重要。我们希望本指南能让您深入了解评估和选择正确的服务提供商。, ,DDoS 攻击逐年稳步增加,不仅在数量方面,而且在规模、复杂性和恶意方面。这导致对防止此类攻击的解决方案的需求大幅增长,尤其是托管 DDoS 保护。, 要寻找的主要功能:摘要,
DDoS 攻击正变得越来越多产、强大、难缠且代价高昂。依赖传统 WAF、网络防火墙、签名分析和速率限制的传统 DDoS 保护解决方案根本无法抵御这些最新版本的 DDoS 攻击。如今,使用人工智能、机器学习、自动化、预测分析等未来技术的先进、多层云 DDoS 保护服务对于有效、持续和全面地防御最新攻击是必要的。为什么会这样?DDoS 防护解决方案应提供哪些特性和功能?继续阅读以了解答案。,, 最新的 DDoS 攻击趋势:概述, 一些事实和数据, 混合 DDoS 攻击的兴起,虽然 DDoS 攻击背后的想法是破坏服务并阻止合法用户访问目标网站/网络/应用程序,但它通常也被用作其他恶意活动的烟幕。近期,尤其是全球大流行以来,这种混合攻击的趋势急剧上升。与 2020 年相比,2021 年以赎金为动机的 DDoS 攻击增加了 29%。,, 更多样化的多向量攻击,几年前,攻击者会使用单一的攻击向量来编排 DDoS 攻击。但是,使用四个或更多向量的复杂攻击的数量有所增加,从而放大了 DDoS 攻击的复杂性。去年的几次攻击在一次攻击中使用了 27-31 个向量。防止这种拒绝服务攻击的挑战在于,即使其中一个向量被关闭或中断,其他向量也会继续向服务器发送请求以压倒它。因此,如果没有正确的 DDoS 保护解决方案,多向量攻击就更难被破坏。, 出现更新和更恶劣的攻击,在过去的几年中,出现了一些更新的、更严重的攻击。攻击不仅仅是数量上的;偷偷摸摸的应用层攻击、网络攻击和慢速低速攻击增长强劲。攻击可能只持续几分钟,但对组织的影响可能是长期的,无论是在财务上还是在声誉上。针对 ISP、云服务提供商、托管服务提供商、运营商、VPN 服务等的针对性强的地毯式炸弹攻击也在增加。攻击者还使用多种规避技术来避免被反 DDoS 解决方案检测到。先进的托管 DDoS 保护解决方案对于有效检测和阻止这些攻击是必不可少的。, 新僵尸网络浮出水面,尽管僵尸网络继续在策划 DDoS 攻击方面发挥核心作用,但新的致命僵尸网络(如 Meris)已经出现。僵尸网络规模为 250,000 台受感染设备,Meris 被用于在 2021 年下半年组织大规模应用层攻击。其中一次攻击针对的是一家美国金融机构,其中每秒请求 (RPS) 高达 1720 万次。在另一次攻击中,Meris 僵尸网络通过其云托管服务针对一家俄罗斯银行实现了 2100 万 RPS。如果没有下一代智能和云 DDoS 保护解决方案,几乎不可能检测到此类僵尸网络活动并在它们演变成严重攻击之前阻止它们。,, 易于组织攻击,如今,攻击者可以随时使用源代码、僵尸网络、DDoS 工具包等。因此,现在编排 DDoS 攻击更加容易和无缝。, DDoS 防护解决方案:抵御最新攻击的必备功能, 1. 零缓解时间,最好的DDoS 保护和缓解解决方案会迅速采取行动,因为攻击的持续时间可能要短得多,并可能造成严重破坏。为了实现这一目标,这些解决方案将人工智能与自学能力、智能自动化、预测分析和其他先进技术相结合,以比任何传统解决方案更快地发现异常和潜在的破坏性活动。, 2. 多层保护,DDoS 防护解决方案必须保护应用免受体积、网络和应用层攻击,并全面覆盖各种 DDoS 攻击。它必须是即时的并且永远在线。, 3. 监控和过滤不良请求,该解决方案必须监控所有传入流量和请求,同时只允许合法用户访问应用程序/网络/系统。该解决方案不能简单地使用基于签名的检测,而是必须使用先进的技术,例如行为分析、细粒度流量检查、启发式分析等。,, 底线,如果您的 DDoS 保护解决方案不具备上述功能,那么它将无法有效抵御最新的 DDoS 攻击。您的 IT 基础设施将容易受到极具破坏性的攻击!, ,DDoS 攻击正变得越来越多产、强大、难缠且代价高昂。依赖传统 WAF、网络防火墙、签名分析和速率限制的传统 DDoS 保护解决方案根本无法抵御这些最新版本的 DDoS 攻击。如今,使用人工智能、机器学习、自动化、预测分析等未来技术的先进、多层云 DDoS 保护服务对于有效、持续和全面地防御最新攻击是必要的。为什么会这样?DDoS 防护解决方案应提供哪些特性和功能?继续阅读以了解答案。,虽然 DDoS 攻击背后的想法是破坏服务并阻止合法用户访问目标网站/网络/应用程序,但它通常也被用作其他恶意活动的烟幕。近期,尤其是全球大流行以来,这种混合攻击的趋势急剧上升。与 2020 年相比,2021 年以赎金为动机的 DDoS 攻击增加了 29%。,
DDoS(分布式拒绝服务)攻击完全绕过防火墙安全和入侵防御系统,有可能关闭您的整个计算机系统和网络。拥有适当的DDoS 保护是网络安全管理的重要组成部分,但不同的缓解产品可能难以比较。,, 什么是 DDoS?,分布式拒绝服务攻击使公司的服务器不堪重负,其 IT 无法处理大量流量。这有效地关闭了系统并阻止合法流量到达它。在最近的历史中,IoT(物联网)导致 DDoS 攻击的有效性不断提高,因为 IoT 设备通常不受保护,并且是攻击者增加其 DDoS 攻击规模的有用工具。,由于不同的 DDoS 保护可以不同地处理它们,因此了解三种主要类型的 DDoS 攻击很重要:,攻击者出于多种原因会对公司使用 DDoS 攻击,但最常见的动机是:,, 什么是 DDoS 防护?,DDoS 缓解是一种专业的解决方案,可以防止 DDoS 攻击,可以有多种形式,但最常见的是:,如您所见,DDoS 保护选项种类繁多,您的最终选择取决于您的风险状况和预算,但仍有一些标准可用于比较不同类型的保护。, 良好的 DDoS 缓解有哪些要求?,有效的 DDoS 防护需要能够识别 DDoS 攻击中的攻击流量并将其过滤掉。它的效果取决于您可以用来比较不同类型的 DDoS 保护的三个因素。,, 1. 容量,随着时间的推移,DDoS 攻击只会变得越来越强大,您的 DDoS 保护需要能够应对其发送的流量。据报道,超过 1Tbps的 DDoS 攻击,虽然您可能不需要那么多容量,但 Comparitech 的研究表明,目前平均 DDoS 攻击超过 1Gbps。确保您的 DDoS 保护具有超过 1Gbps 的标准容量,但如果您受到更大的攻击,还具有扩展能力。, 2. 保护每一层攻击,DDoS 攻击可以有多种形式,具体取决于它们如何放大流量以及它们用来压倒目标计算机系统的方式。这些不同类型的攻击根据它们攻击的数据传输过程的哪一层进行标记。您的 DDoS 保护应涵盖可能的 DDoS 攻击的每一层,否则您将承担不必要的风险。, 3.响应速度,如果不开启,即使是世界上最好的 DDoS 防护也无法保护您。您的 DDoS 缓解提供商需要向您展示其激活过程是什么,并且它会迅速发生以避免中断。,一个“永远在线”的解决方案就是上面所说的:进入您系统的所有流量都被您的 DDoS 保护过滤,因此攻击在它开始的那一刻就得到了缓解。然而,这是一种资源密集型的运营方式,并且伴随着成本。,虽然“始终在线”是 DDoS 缓解的理想部署,但您需要的最低要求是让您的 DDoS 保护提供商展示在攻击开始时快速部署 DDoS 保护的能力,并且不会让您容易受到攻击。,, 您应该为 DDoS 缓解支付多少费用?,DDoS 防护包可以通过多种方式涵盖上述三个因素,因此 DDoS 缓解有多种价位。但是,“一分钱一分货”的一般规则在这里适用,您应该检查提供给您的任何廉价 DDoS 缓解措施的规范,了解它们如何处理三个因素:容量、层保护和速度的回应。DDoS 保护的廉价选项(如缓解设备)的容量很可能比其他选项低得多,这意味着它无法处理与其他选项相同规模的洪水攻击。,确定 DDoS 保护中的标准内容,以及仅以额外费用提供的内容。如果您选择了廉价的 DDoS 保护包,然后攻击超出了它的能力,您可能会被迫向您的提供商支付高额费用以应对攻击。您最终可能会被收取额外费用的事情包括:,DDoS 保护的固定费率费用将保护您免受这种情况的影响,因为无论您受到多少 DDoS 攻击或其规模大小,您每个月都将被收取标准金额。, 如何选择合适的 DDoS 防护?,任何公司都有可能成为 DDoS 攻击的受害者,因此确保 DDoS 保护到位很重要。您应该选择的保护级别取决于您的客户和您的员工失去对您系统的访问权限的破坏性程度。,获得 DDoS 保护的最便捷方法是让您的数据中心提供商为您安装一个,因为他们已经处理了您的网络连接。他们将向您解释他们不同选项的功能,以及他们如何处理三个关键因素。在选择托管 IT 的位置时,数据中心可以提供的 DDoS 保护绝对是一个需要考虑的因素。, ,DDoS(分布式拒绝服务)攻击完全绕过防火墙安全和入侵防御系统,有可能关闭您的整个计算机系统和网络。拥有适当的DDoS 保护是网络安全管理的重要组成部分,但不同的缓解产品可能难以比较。,攻击者出于多种原因会对公司使用 DDoS 攻击,但最常见的动机是:,
有多种方法可以保护您的网络和/或应用程序免受 DDoS 攻击。这里的主要挑战是我们如何区分合法流量和恶意流量。目前有许多 DDoS 缓解方法可用于应对这一挑战,每种方法都有自己的优点和缺点。然而,当今最常见的 DDoS 防护方法有三种:清洁管道法、CDN 稀释法和 TCP/UDP-DDoS 代理:,, 清洁管道 DDoS 保护,清洁管道方法的核心是让所有传入的流量通过一个“清洁管道”,也称为洗涤中心。在这个干净的管道中,将恶意流量与合法流量区分开来,只允许合法用户流量进入网络服务器。Clean Pipe 保护方法现在非常流行,并由许多 ISP 和 DDoS 缓解服务提供。过去,ISP 通常使用黑洞来缓解传入的 DDoS 攻击 ,其中包括合法流量在内的所有流量都被完全否定。但是,清洁管道保护方法存在一些弱点,即:,1.它们部署起来非常困难且昂贵。您需要一个 BGP(边界网关协议路由器)和能够终止 GRE 隧道的硬件。如今,我们可以使用基于云的服务来解决这个问题,但它们往往非常昂贵。,2.Clean Pipe 方法涉及将流量重新路由到清洁管道/清洗中心,因此依赖于正确的 DDoS 检测。此外,重新路由过程从重新路由到缓解过程可能需要至少几分钟的时间。,3.Clean Pipe 方法在防止基于数据包和应用程序泛洪攻击(第 7 层 DDoS 攻击)方面不是很有效。,4.尽管比黑洞好得多,但在允许合法流量方面,Clean Pipe 涉及混合客户端和服务器端流量,因此缓解配置文件可能非常复杂,因此它可能会引入许多误报(合法流量被阻止) .,然而,清洁管道方法是最通用的,支持几乎所有类型的应用程序。我们可以将 Clean Pipe 方法视为一种全面的、万事通的 DDoS 保护方法,但它缺乏针对特定应用程序的高级保护(也就是说,它是无所不能的)。, CDN 稀释 DDoS 保护,CDN,即内容交付网络,是一个向用户提供内容的分布式网络系统。因此,离用户最近的服务器将响应请求,而不是您的原始服务器。因此,CDN 系统在保护系统免受 DDoS 攻击方面具有两个关键优势:首先,由于涉及大量服务器,因此带宽总和要大得多。CDN 技术具有巨大的带宽,可以有效吸收第 3 层或第 4 层 DDoS 攻击(或容量 DDoS 攻击)。其次,原始服务器不是响应用户请求的服务器,因此任何 DDoS 攻击都很难到达该服务器。这并不是说 CDN 稀释是完美的,因为也有一些缺点:,1.CDN 稀释服务成本高昂,并且可能涉及许多隐藏成本,尤其是因为您涉及使用第三方网络,2.与 DDoS 保护没有直接关系,某些国家/地区已屏蔽了流行 CDN 的 IP 地址,因此某些国家/地区的受众可能无法访问您的站点。,3.如果 CDN 服务器关闭(这是可能的),源服务器很容易受到 DDoS 攻击。,4.CDN 仅适用于 Web 应用程序,您不能在专有 TCP/UDP 应用程序上使用它,但是,CDN 服务器是应用程序上下文感知的,并且与 Clean Pipe(无前置时间)相比,动作更快。因此,除非您使用专有 TCP/UDP 应用程序,否则 CDN 稀释可能是一个很好的 DDoS 保护解决方案。, TCP/UDP 代理 DDoS 防护,如果您的网站/平台包含 TCP 或 UDP 服务,例如电子邮件 (SMTP)、SSH 访问、游戏服务等,请了解它们的开放端口可能意味着 DDoS 攻击的漏洞。为了解决这个问题,放置了一个基于 TCP/UDP 的代理,其工作方式类似于基于 CDN 稀释的保护。在这种方法中,数据包被发送到 TCP/UDP 反向代理,然后过滤掉恶意流量和数据包。与之前的两种 DDoS 保护方法一样,这种方法也有缺点:,1.后端的源 IP 将更改。由于我们无法获得真实访问者的 IP,这可能是一个额外的漏洞。,2.TCP/UDP 代理的配置基于每个应用程序而不是每个域(如 CDN 稀释)。,3.与 CDN 稀释相比,它更容易出现误报(在这方面与 Clean Pipe 方法非常相似)。,4.不提供网络粒度,TCP/UDP...