携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第14天,点击查看活动详情
如何阻止 DDoS 攻击
保护 Web 应用程序和服务器基础架构免受 DDoS 攻击不再是拥有在线业务的组织的选择。DDoS租用服务的出现有效地降低了那些能够执行攻击的人的标准,使所有网络实体成为潜在的目标。
成功的DDoS攻击除了破坏现有的客户关系外,还会对组织的声誉产生负面影响。对于大型企业来说,重大的财务损失可能高达每小时40,000美元。较小的实体可能面临数万美元的损失,而更长的、不折不扣的攻击有可能成为结束业务的事件。
从广义上讲,有几种方法可以阻止DDoS攻击。最常见的解决方案依赖于自己动手 (DIY) 方法、内部部署缓解设备和基于云的外部部署解决方案。
虽然每种方法都有自己的好处,但它们在阻止DDoS方面的整体有效性基于许多因素。这些包括可扩展性和过滤功能,成本和易于集成,以及易用性和托管兼容性。
这是有关网络安全](www.cynet.com/cybersecuri…
| 自己动手 | 内部部署 | 场外 | |
|---|---|---|---|
| 资本支出 | 没有 | 贵 | 温和 |
| 运营支出 | 极小 | 贵 | 温和 |
| 部署方法 | 按需提供 | 按需提供 | 按需 /始终开启 |
| 缓解时间 | 重要 | 重要 | 中等 /无 |
| 可伸缩性 | 没有 | 有限 | 几乎无限制 |
| 滤波 | 有限 | 重要 | 重要 |
| 易用性 | 复杂 | 温和 | 非常简单 |
| 集成 | 复杂 | 温和 | 容易 |
| 与托管选项的 兼容性 | 什么 | 拥有和专用 | 什么 |
DIY保护
DIY保护被广泛认为是DDoS缓解的弱方法。实际上,它依赖于设置静态流量阈值(例如,使用mod_evasive)和不加区分的IP黑名单规则。由于预算原因,它主要是首选,而在线企业很少考虑。
DIY解决方案的一个主要缺点是它们通常被用作反应性措施。几乎总是在初始攻击波袭来后手动调整配置。虽然这样的解决方案可能会阻止类似的未来攻击,但成功的第一波通常足以导致数小时的停机时间和其他问题。
此外,犯罪者可以很容易地修改他们的方法,从不同的来源和使用不同的媒介进行攻击。这使您的组织处于防御位置,必须重复部署其他配置,同时尝试从多个停机事件中恢复。这可以一次持续数天。
然而,任何DIY方法的真正问题是,它总是受到网络带宽的限制,这严重限制了阻止网络层DDoS攻击所需的可扩展性。
由于大多数攻击的注册速度超过10Gbps,而很少有组织拥有超过10Gbps的突发上行链路,DIY解决方案几乎总是注定要失败。
本地设备
DDoS 保护的内部部署方法使用部署在网络内部的硬件设备,放置在受保护服务器前面。
此类设备通常具有高级流量过滤功能,并结合了地理阻止、速率限制、IP 信誉和签名识别。
典型的缓解设备可以有效地用于过滤掉恶意传入流量。这使它们成为阻止应用程序层攻击的可行选择。
但是,有几个因素使得依赖设备变得不可行:
- 可伸缩性仍然是一个问题。硬件处理大量DDoS流量的能力受到网络上行链路的限制,该上行链路很少超过10Gbps(突发)。
- 需要手动部署本地设备以阻止攻击。这会影响响应时间和缓解时间,通常会导致组织在建立安全边界之前遭受停机。
- 最后,购买、安装和维护硬件的成本相对较高,尤其是与成本更低、更有效的基于云的选项相比。这使得缓解设备成为不切实际的购买,除非组织有义务使用内部部署解决方案(例如,根据行业特定的法规)。
在后一种情况下,硬件通常是混合部署的一部分,其中它由基于云的解决方案补充,能够抵御网络层攻击。
基于云的外部部署解决方案
外部部署解决方案要么是ISP提供的,要么是基于云的。ISP 通常仅提供网络层保护,而基于云的解决方案则提供阻止应用层攻击所需的其他过滤功能。两者都提供几乎无限的可扩展性,因为它们部署在网络之外,并且不受先前确定的上行链路限制的限制。
通常,外部部署缓解解决方案是托管服务。他们不需要DIY解决方案和内部部署硬件所需的任何安全人员或维护方面的投资。它们还比内部部署解决方案更具成本效益,同时提供更好的保护,抵御网络和应用层威胁。
外部部署解决方案既可以部署为按需服务,也可以部署为始终在线的服务,大多数市场领先的供应商都提供这两种选择。
按需选项
通过 BGP 重新路由,按需选项可阻止网络层攻击,包括直接针对源站和核心网络基础设施其他组件的攻击。其中包括 SYN 或 UDP 泛洪,这是一种容量耗尽攻击,旨在用虚假数据包堵塞网络管道。
始终开启选项
始终开启选项是通过 DNS 重定向启用的。它可以阻止应用程序层攻击,试图与应用程序建立 TCP 连接,以耗尽服务器资源。这些包括HTTP洪水,DNS洪水和各种低速和慢速攻击(例如,Slowloris)。
