行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
DDOS防护困难重重,防御DDoS全看这三点
2021-03-25 11:12:06 【

ddos(分布式拒绝服务)攻击由来已久,但如此简单粗暴的攻击手法为何时至今日依然有效,并成为困扰各大网站稳定运营的“头号敌人”呢?实际上,这与ddos攻击不断变化演进不无关系。面对此种态势,企业又该如何开展积极有效地防御部署呢?高人指出,现在只有多层级的ddos防护才是王道。
  ddos攻击是一种利用大量攻击流量淹没目标网络,令受害网站无法处理正常访问请求的一种高破坏力、高攻击效率的网络攻击手法。由于其成本低廉、高效,因此被网络犯罪分子们所青睐,成为他们攻击、勒索商业网站的重要武器。现阶段的ddos攻击呈现出三大趋势:

  首先是攻击的M型(两极化)趋势。当前的ddos攻击不仅有以超大攻击流量为主的泛洪攻击,还有能够进行精准打击的状态耗尽攻击、应用层攻击。不论哪种攻击方式,都能够发挥强大杀伤力,对企业网站造成严重伤害。
  其次是新形态ddos攻击规模不断攀升。早年间黑客动用数十Mbps、甚至1Gbps攻击流量,便可达到效果,但随着目前用户防御实力升级,攻击者也顺势加码,自从2013年首次出现300G规模攻击流量后,2014年出现了400Gbps,2015年则达到500Gbps,未来再破记录的几率也不低。
  再有就是攻击速度的变化。除了传统的一段时间内集中发起的ddos攻击外,利用缓慢甚至是微量的恶意访问流量却能够拖垮企业应用服务器的攻击行为也开始在全球盛行起来。而且利用单一事件混搭多种攻击型态的ddos攻击,如先发动状态耗尽攻击,随后再进行流量攻击也开始流行,并给网站带来猝不不及防的威胁性。
  那么面对上述ddos攻击趋势,目前主流的ddos防护机制无法胜任么?在当下,防ddos攻击的主流厂商大致可分为三个派系。
  一类为基于防火墙、入侵检测系统、Web应用防护系统、负载均衡设备加上ddos防护方案的厂商,一类是当地运营商或流量清洗中心,还有一类是CDN厂商。
  不过对于上述各派的ddos防护方案来说,或多或少都存在一些软肋“罩门”。比如,第一类厂商推出的传统安全设备,原本不是为了ddos防护所设计的。因此,这些有状态表(Stateful)的设备, 很容易在发挥出ddos防护机能之前就被攻击者利用状态耗尽攻击而自身难保了。而一些非专业ddos保护设备则容易造成误判。
  对于运营商或ISP流量清洗中心来说,虽然可以提供有限的流量清洗能力, 但面对暴力流量攻击发生时, 往往仍然无法进行有效清洗,或者说洗不干净,而且无法主动侦测L7等攻击行为以及不能掌控预算花费,在ddos防御的纵深度上有一定欠缺。
  而对于CDN厂商来说则往往欠缺防御广度,例如其不能阻挡非网页型态的攻击行为;针对实际IP进行攻击也无法拦截;动态网页型的客户则无法阻挡状态耗尽攻击;受限金融法規规范,对金融交易所需加解密无法支持等等。
  既然现阶段的ddos防护方案都存在这样或那样的不尽人意,究竟该如何应对ddos攻击呢?一个完善可靠的ddos防护,必须采用多层级的全方位阻断策略。而这样的防护体系需要具备下面的六大特征:
  第一,驻地端防护设备必须24小时全天候主动侦测各类型ddos攻击,包括流量攻击、状态耗尽攻击与应用层攻击。
  第二,驻地端防护设备只要侦测到攻击流量后,即可实现阻挡。
  第三,利用Arbor Pravail可用性保护系统(APS)设备,可以自动阻挡攻击者的试探性流量,并推迟其后续攻击频率,积极防御。
  第四,为了避免出现上述防火墙等设备存在的弊端,用户应该选择无状态表架构(Stateless Architecture)的防护设备。
   第五,利用云平台、大数据分析,积累并迅速察觉攻击特征码,建立指纹知识库(Signature Database),以协助企业及时侦测并阻挡恶意流量攻击。
   第六,将APS设备与Arbor Cloud云端清洗中心相结合,开展联动防护。

     显而易见,通过上面的全方位阻断策略,企业不仅可以构建出一套高效的多层级ddos防护体系,还能在日益难缠的ddos攻击中也能立于不败之地。


常规预防措施

1. 使用防火墙。防火墙无法完全保障应用程序或服务器不受大流量的DDoS攻击,但可以有效地防止简单的攻击。

2. 禁用未使用的服务。确保禁用所有不需要和未使用的服务和应用程序,能帮助提高网络的安全性。

3. 安装最新安全补丁。安装最新补丁把漏洞及时修复,能帮助降低攻击风险,因为大多数攻击都是针对特定的软件或硬件漏洞。

过滤技术

过滤机制的话,可以使用不同的方法,比如入口/出口过滤,基于历史的IP过滤和基于路由器的数据包过滤等等,来过滤流量并阻止潜在的危险请求。

谨慎选择云服务提供商

仔细选择云提供商,寻找一个值得信赖的云服务商,能提供DDoS缓解策略的那种。一般来说,优秀的云服务商制定的策略,可检测和缓解基于协议,基于卷和应用程序级别的攻击,DDoS缓解服务甚至可以在问题流量到达受害者网络之前将其清除,这是最省心的办法了。

由于许多组织的经营由于疫情的影响而陷入困境,而受到网络攻击可能成为压垮骆驼的最后一根稻草。因此进行全面的防御DDoS是必不可少的,但是从大规模的网络攻击到复杂而持久的应用层威胁,组织需要考虑的潜在解决方案的最重要因素是什么?

(1)简单快速缓解DDoS攻击

当几秒钟的停机时间可能会对组织业务带来损害时,第一个DDoS数据包攻击系统与DDoS缓解系统开始清理传入流量之间的时间是至关重要的考虑因素。考虑到在确保业务连续性方面的作用,DDoS保护的实施和操作应该不会繁琐。如果防御DDoS软件的操作过于复杂,组织无法承受网络攻击之后带来的损失。

(2)针对性的技术能力

DDoS保护涉及快速分析、识别和缓解恶意流量。组织需要采用专门针对每种类型攻击的防御DDoS技术。这些技术不仅用于网络攻击检测,还用于更细粒度的流量分析,当识别DDoS和潜在攻击时,可以帮助提供重要的“全局”视图。

(3)整合能力

原生API功能是现代DDoS保护系统的关键要素。通过机器学习分析流量并根据行为模式变化定义和更新相关DDoS安全策略的技术,可以阻止容量攻击(采用不需要的请求淹没受害者的系统)和协议攻击(利用传输层)。通过与安全信息和事件管理(SIEM)平台的原生整合,可以将安全信息和事件实时捕获,保留和传递到所选的SIEM应用程序,在更广泛的上场景中可以轻松访问和查看这些信息。



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇从高防CDN视角看DDoS的应对策略 下一篇当服务器受到ddos攻击怎么办? 自..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800