了解 DDoS 攻击和缓解方法的快速指南
已发表: 2016-04-25由于企业如此依赖互联网存在,因此确保您拥有适当的 DDoS 保护以免受任何形式的攻击至关重要。 分布式拒绝服务 (DDoS) 入侵是一些最简单的虚拟攻击形式,可以使用越来越多的易于访问的工具来执行,但也可能带来最大的威胁。 DDoS 攻击可以通过简单的 Web 服务进行,但即使是最稳定的服务器也能瘫痪。 这些攻击旨在通过请求压倒服务,阻止公共访问并停止任何潜在的操作或销售。
许多企业,尤其是规模较小的企业,无法建立针对此类攻击的独立保护,或获得 DDoS 安全服务器。 然而,随着攻击威胁的增加,外部帮助的可用性也在增加。 在其年度全球基础设施安全报告中,Arbor Networks 认识到客户对 DDoS 检测和保护的巨大需求,比上一年的微不足道的 4% 增长了 74%。
DDoS 攻击到底是什么?您如何保护您的企业免受无情入侵的侵害?
DDos攻击的方法
理论上看起来很简单,DDoS 攻击可以利用不同的方法来淹没您的服务器,从而更加难以确定入侵的来源和方法。
- 容量攻击——消耗所有带宽是关闭服务的简单方法。 同时发送海量请求,即使是最稳定的web服务器也能被拿下。 通常通过“僵尸网络”完成——由一个黑客控制的来自世界各地的数千台恶意软件感染计算机的集合。 当所有这些机器都被引导访问一个网站时,庞大的流量会使服务器超载,导致崩溃并关闭您的页面。
- 应用层攻击——互联网有七个垂直层,每个层都使用不同的协议来发送信息。 这被称为开放系统互连模型,是网络如何运行的一种表示。 该模型的最后一层和第七层称为应用层。 第七层是最熟悉的一层,它处理来自基本 Web 浏览和电子邮件服务的 HTTP 和 SMTP 通信。 对应用层的 DDoS 攻击将恶意活动伪装成真实的人类行为,以压倒和消耗此级别的所有资源。 因为他们试图模仿真实活动,所以这些攻击更难以识别。
- 协议攻击- 协议攻击不是通过纯粹的数字关闭服务,而是通过发送来自虚假 IP 地址的 ping 请求来堵塞资源。 这些攻击使用这些虚假地址向您的服务器发送请求,当您的服务器尝试响应时,它们无休止地等待着希望收到回复,或者返回不必要的大请求。 这会阻塞资源执行和完成其他请求和服务。
为什么需要 DDoS 保护?
在他们的安全报告中,Arbor Networks 确定 DDoS 攻击比往年显着增加。 2015 年,44% 的服务提供商每月发现超过 21 次攻击,高于之前的 38%。 由于对持续连接和即时访问的需求,如果 DDoS 攻击总是使您的网站瘫痪,客户可能会对您的服务望而却步。 仅在 VOIP 行业,该报告得出的结论是,针对提供商的 DDoS 攻击数量已从 2014 年仅占所有攻击的 9% 上升到 2015 年的 19%。
根据这项研究,DDoS 攻击背后的主要动机似乎是“犯罪分子展示攻击能力”,“游戏”和“犯罪勒索企图”紧随其后。 没错——刑事勒索。 黑客经常发送小型警告 DDoS 攻击作为威胁,然后发送勒索电子邮件,威胁服务更严重中断。
它们不仅会中断您的服务流,而且 Arbor Networks 还注意到 DDoS 攻击越来越多地被用作烟幕,试图掩盖其他恶意激活,例如恶意软件感染、信息盗窃甚至欺诈。
DDoS 缓解的工作原理
就其性质而言,DDoS 攻击在发生时非常难以处理。 最好的防线是主动采用和设置主动分析传入数据的措施,并减少任何虚假或恶意请求。 但是,选择最佳 DDoS 保护可能与攻击一样难以应对,重要的是不仅要注意这些保护包括的功能,还要注意它们的方法和支持网络。 虽然一项服务可能提供最好的功能和方法,但如果没有能够处理庞大数量的适当支持网络,保护就会失败。
- 你受到攻击了吗?
首先要确定您的服务是否实际上是 DDoS 攻击的受害者——保护必须能够区分良好流量(您的客户)和不良流量(攻击)。 如果缓解服务只是检测流量并关闭所有传入请求,那么您将遇到合法用户无法访问您的网页或服务的相同问题。 这就是机器人识别和深度数据包检测服务的用武之地,这些方法是用来区分好流量和坏流量的。
- 重定向不良流量
一旦被识别出来,就必须适当地缓解不良流量并将其重新路由到您的服务器之外。 这就是保护网络的强度和水平发挥作用的地方。 所有不好的 ping 都将被带走,并通过缓解基础设施过滤到保护服务本身。 不良流量会通过您的保护服务的安全运营中心进行过滤。 由于网络太弱,中心太少,保护服务将无法应对大量涌入的请求。 这实质上会使任何真正的攻击保护无效。 因此,在考虑保护提供者时,比较这些安全操作或清洗中心的数量和位置非常重要。
- 利用你的保护
由于大多数保护服务都可以根据您的业务需求进行定制,因此您设置和维护 DDoS 保护的方式可能会有很大差异。 根据重要性级别,您的保护可以一直运行并始终打开,在特定时间间歇性运行,甚至可以打开和关闭。 不同的部署方法也会因您希望服务的运行方式而异,无论是基于云、使用现场硬件还是使用两者的混合模型。 选择适当的部署方法将根据您的业务规模、保护的紧迫性,甚至 IT 能力而有所不同。 现场硬件可能需要额外的现场支持,对于小型 IT 团队来说可能太多了。 同时,大多数云服务将由提供商完全维护,并在发生攻击时提醒您——而不是在您意识到攻击时切换保护。
比较 6 大 DDoS 缓解解决方案
在充分了解 DDoS 攻击是什么以及如何缓解它们之后,仔细分析市场上提供的不同解决方案以确定其有效性非常重要。 如前所述,保护不仅要采用适当的保护方法,而且必须有足够的网络支持以适当地减轻任何攻击,这一点很重要。 除了简单的功能外,重要的是要注意可供保护的安全操作中心的数量以及网络容量。
由于安全中心太少或网络容量太小,最好的缓解工具将无法正确防止攻击,因为没有将流量发送到哪里。 理解这一点的一种简单方法是将其与过桥收费站联系起来。 不需要汽车停车和支付通行费的快速入口点可以更快地通过,但如果入口点的数量被限制在 2 个或 3 个,当高峰时间到来时,涌入的汽车将集中进入有限数量的入口点。 如果没有适当的基础设施来允许更多的入口点,系统就会变得不堪重负,更快的支付系统的好处就会失效。
DDoS 攻击难以模拟,测试每个单独的保护服务也不完全可行。 为了分解每个供应商的产品,我们从他们各自的网页中获取信息,以及独立研究并与供应商联系。 您将在下面找到一张图表,其中概述了最突出的服务及其类似功能。
 |  |  |  |  |  | |
| 安全运营中心数量 | 4 | 42 | 4 | 27 | 3 | 5 |
| 网络容量(以每秒 TB 为单位) | 1 | 不适用 | 1 | 1.5 | 0.5 | 1.7 |
| 防火墙 | 不 | 是的 | 是的 | 是的 | 不 | 不 |
| 汽车机器人辨别力 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 深度包检测 | 是的 | 不适用 | 是的 | 是的 | 是的 | 是的 |
| DNS 重定向 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 网络代理 | 不 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 实时监控 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| IP 封锁 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 永远在线 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 基于云的保护 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 混合保护 | 是的 | 不 | 不 | 是的 | 是的 | 是的 |
| 现场监控 | 是的 | 不 | 不 | 是的 | 不 | 不 |
| 24/7 客户服务 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 电子邮件支持 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 电话支持 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 实时网络聊天 | 不 | 不 | 是的 | 是的 | 是的 | 不 |
| 更多信息 | 更多细节 | 更多细节 | 更多细节 | 更多细节 | 更多细节 | 更多细节 |