了解 DDoS 攻擊和緩解方法的快速指南
已發表: 2016-04-25由於企業如此依賴互聯網存在,因此確保您擁有適當的 DDoS 保護以免受任何形式的攻擊至關重要。 分佈式拒絕服務 (DDoS) 入侵是一些最簡單的虛擬攻擊形式,可以使用越來越多的易於訪問的工具來執行,但也可能帶來最大的威脅。 DDoS 攻擊可以通過簡單的 Web 服務進行,但即使是最穩定的服務器也能癱瘓。 這些攻擊旨在通過請求壓倒服務,阻止公共訪問並停止任何潛在的操作或銷售。
許多企業,尤其是規模較小的企業,無法建立針對此類攻擊的獨立保護,或獲得 DDoS 安全服務器。 然而,隨著攻擊威脅的增加,外部幫助的可用性也在增加。 在其年度全球基礎設施安全報告中,Arbor Networks 認識到客戶對 DDoS 檢測和保護的巨大需求,比上一年的微不足道的 4% 增長了 74%。
DDoS 攻擊到底是什麼?您如何保護您的企業免受無情入侵的侵害?
DDos攻擊的方法
理論上看起來很簡單,DDoS 攻擊可以利用不同的方法來淹沒您的服務器,從而更加難以確定入侵的來源和方法。
- 容量攻擊——消耗所有帶寬是關閉服務的簡單方法。 同時發送海量請求,即使是最穩定的web服務器也能被拿下。 通常通過“殭屍網絡”完成——由一個黑客控制的來自世界各地的數千台惡意軟件感染計算機的集合。 當所有這些機器都被引導訪問一個網站時,龐大的流量會使服務器超載,導致崩潰並關閉您的頁面。
- 應用層攻擊——互聯網有七個垂直層,每個層都使用不同的協議來發送信息。 這被稱為開放系統互連模型,是網絡如何運行的一種表示。 該模型的最後一層和第七層稱為應用層。 第七層是最熟悉的一層,它處理來自基本 Web 瀏覽和電子郵件服務的 HTTP 和 SMTP 通信。 對應用層的 DDoS 攻擊將惡意活動偽裝成真實的人類行為,以壓倒和消耗此級別的所有資源。 因為他們試圖模仿真實活動,所以這些攻擊更難以識別。
- 協議攻擊- 協議攻擊不是通過純粹的數字關閉服務,而是通過發送來自虛假 IP 地址的 ping 請求來阻塞資源。 這些攻擊使用這些虛假地址向您的服務器發送請求,當您的服務器嘗試響應時,它們無休止地等待著希望收到回复,或者返回不必要的大請求。 這會阻塞資源執行和完成其他請求和服務。
為什麼需要 DDoS 保護?
在他們的安全報告中,Arbor Networks 確定 DDoS 攻擊比往年顯著增加。 2015 年,44% 的服務提供商每月發現超過 21 次攻擊,高於之前的 38%。 由於對持續連接和即時訪問的需求,如果 DDoS 攻擊總是使您的網站癱瘓,客戶可能會對您的服務望而卻步。 僅在 VOIP 行業,該報告得出的結論是,針對提供商的 DDoS 攻擊數量已從 2014 年僅佔所有攻擊的 9% 上升到 2015 年的 19%。
根據這項研究,DDoS 攻擊背後的主要動機似乎是“犯罪分子展示攻擊能力”,“遊戲”和“犯罪勒索企圖”緊隨其後。 沒錯——刑事勒索。 黑客經常發送小型警告 DDoS 攻擊作為威脅,然後發送勒索電子郵件,威脅服務更嚴重中斷。
它們不僅會中斷您的服務流,而且 Arbor Networks 還注意到 DDoS 攻擊越來越多地被用作煙幕,試圖掩蓋其他惡意激活,例如惡意軟件感染、信息盜竊甚至欺詐。
DDoS 緩解的工作原理
就其性質而言,DDoS 攻擊在發生時非常難以處理。 最好的防線是主動採用和設置主動分析傳入數據的措施,並減少任何虛假或惡意請求。 但是,選擇最佳 DDoS 保護可能與攻擊一樣難以應對,重要的是不僅要注意這些保護包括的功能,還要注意它們的方法和支持網絡。 雖然一項服務可能提供最好的功能和方法,但如果沒有能夠處理龐大數量的適當支持網絡,保護就會失敗。
- 你受到攻擊了嗎?
首先要確定您的服務是否實際上是 DDoS 攻擊的受害者——保護必須能夠區分良好流量(您的客戶)和不良流量(攻擊)。 如果緩解服務只是檢測流量並關閉所有傳入請求,那麼您將遇到合法用戶無法訪問您的網頁或服務的相同問題。 這就是機器人識別和深度數據包檢測服務的用武之地,這些方法是用來區分好流量和壞流量的。
- 重定向不良流量
一旦被識別出來,就必須適當地緩解不良流量並將其重新路由到您的服務器之外。 這就是保護網絡的強度和水平發揮作用的地方。 所有不好的 ping 都將被帶走,並通過緩解基礎設施過濾到保護服務本身。 不良流量會通過您的保護服務的安全運營中心進行過濾。 由於網絡太弱,中心太少,保護服務將無法應對大量湧入的請求。 這實質上會使任何真正的攻擊保護無效。 因此,在考慮保護提供者時,比較這些安全操作或清洗中心的數量和位置非常重要。
- 利用你的保護
由於大多數保護服務都可以根據您的業務需求進行定制,因此您設置和維護 DDoS 保護的方式可能會有很大差異。 根據重要性級別,您的保護可以一直運行並始終打開,在特定時間間歇性運行,甚至可以打開和關閉。 不同的部署方法也會因您希望服務的運行方式而異,無論是基於雲、使用現場硬件還是使用兩者的混合模型。 選擇適當的部署方法將根據您的業務規模、保護的緊迫性,甚至 IT 能力而有所不同。 現場硬件可能需要額外的現場支持,對於小型 IT 團隊來說可能太多了。 同時,大多數雲服務將由提供商完全維護,並在發生攻擊時提醒您——而不是在您意識到攻擊時切換保護。
比較 6 大 DDoS 緩解解決方案
在充分了解 DDoS 攻擊是什麼以及如何緩解它們之後,仔細分析市場上提供的不同解決方案以確定其有效性非常重要。 如前所述,保護不僅要採用適當的保護方法,而且必須有足夠的網絡支持以適當地減輕任何攻擊,這一點很重要。 除了簡單的功能外,重要的是要注意可供保護的安全操作中心的數量以及網絡容量。
由於安全中心太少或網絡容量太小,最好的緩解工具將無法正確防止攻擊,因為沒有將流量發送到哪裡。 理解這一點的一種簡單方法是將其與過橋收費站聯繫起來。 不需要汽車停車和支付通行費的快速入口點可以更快地通過,但如果入口點的數量被限制在 2 個或 3 個,當高峰時間到來時,湧入的汽車將集中進入有限數量的入口點。 如果沒有適當的基礎設施來允許更多的入口點,系統就會變得不堪重負,更快的支付系統的好處就會失效。
DDoS 攻擊難以模擬,測試每個單獨的保護服務也不完全可行。 為了分解每個供應商的產品,我們從他們各自的網頁中獲取信息,以及獨立研究並與供應商聯繫。 您將在下面找到一張圖表,其中概述了最突出的服務及其類似功能。
 |  |  |  |  |  | |
| 安全運營中心數量 | 4 | 42 | 4 | 27 | 3 | 5 |
| 網絡容量(以每秒 TB 為單位) | 1 | 不適用 | 1 | 1.5 | 0.5 | 1.7 |
| 防火牆 | 不 | 是的 | 是的 | 是的 | 不 | 不 |
| 汽車機器人辨別力 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 深度包檢測 | 是的 | 不適用 | 是的 | 是的 | 是的 | 是的 |
| DNS 重定向 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 網絡代理 | 不 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 實時監控 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| IP 封鎖 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 永遠在線 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 基於雲的保護 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 混合保護 | 是的 | 不 | 不 | 是的 | 是的 | 是的 |
| 現場監控 | 是的 | 不 | 不 | 是的 | 不 | 不 |
| 24/7 客戶服務 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 電子郵件支持 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 電話支持 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 實時網絡聊天 | 不 | 不 | 是的 | 是的 | 是的 | 不 |
| 更多信息 | 更多細節 | 更多細節 | 更多細節 | 更多細節 | 更多細節 | 更多細節 |