携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第21天，点击查看活动详情

DDoS 缓解：权威买家指南

什么是 DDoS 缓解？

术语“DDoS 缓解”是指成功保护目标免受分布式拒绝服务（DDoS）攻击的过程。

典型的缓解过程可以通过以下四个阶段进行广义定义：

DDoS 缓解阶段

检测 — 识别可能表示 DDoS 攻击累积的交通流偏差。有效性是通过您尽早识别攻击的能力来衡量的，即时检测是最终目标。
转移 - 通过 DNS（域名系统）或 BGP（边界网关协议）路由将流量从其目标重新路由，并决定是对其进行过滤还是完全丢弃。DNS 路由始终处于打开状态，因此它可以快速响应攻击，并且对应用层和网络层攻击都有效。BGP 路由是始终在线或按需路由。
过滤 - 清除DDoS流量，通常是通过识别立即区分合法流量（即人类，API调用和搜索引擎机器人）和恶意访问者的模式。响应能力是您能够在不干扰用户体验的情况下阻止攻击的功能。目的是让您的解决方案对网站访问者完全透明。
分析 - 系统日志和分析可以帮助收集有关攻击的信息，既可以识别犯罪者，也可以提高未来的弹性。日志记录是一种传统方法，它可以提供见解，但不是实时的，可能需要详细的手动分析。高级安全分析技术可以提供对攻击流量的细粒度可见性，并即时了解攻击详细信息。

选择缓解提供程序

在选择缓解提供程序时，还必须考虑其他几个关键方面。这些包括：

网络容量

保护网站
保护应用程序
保护接口
保护网络

网络容量仍然是对DDoS缓解服务进行基准测试的好方法。它反映了攻击期间可用的整体可扩展性

例如，一个1 Tbps（Terabits/second）的网络理论上可以阻止相同数量的攻击流量，减去维持其常规操作所需的带宽。

大多数基于云的缓解服务都提供多 Tbps 网络容量，远远超出任何单个客户可能需要的容量。另一方面，默认情况下，本地 DDoS 缓解设备受限制 - 包括组织网络管道的大小和内部硬件容量。

主要特点：

可用带宽 — 以 Gbps 或 Tbps 为单位，可用于抵御攻击。超过DDoS提供商带宽的攻击将攻击您的服务器。
部署模型 - 基于云的或内部部署的解决方案。基于云的解决方案具有弹性可扩展性，可以抵御大容量 DDoS 攻击。

处理能力

保护网站
保护应用程序
保护接口
保护网络

除了吞吐量容量之外，还应考虑缓解解决方案的处理能力。它们由转发速率表示，以 Mpps（每秒数百万个数据包）为单位。

如今，攻击峰值超过50 Mpps的情况并不少见，有些攻击高达200-300 Mpps甚至更多。超过缓解提供商处理能力的攻击将推翻其防御，这就是为什么您应该提前询问此类限制的原因。

主要特点：

转发速率 - 以 Mpps 为单位。超过DDoS提供商转发速率的攻击将攻击您的服务器。
转发技术 — DNS 或 BGP 路由。DNS 路由始终处于打开状态，可以抵御应用层和网络层攻击。BGP 路由几乎可以抵御任何攻击，并且可以始终在线或按需激活。

延迟

保护网站
保护应用程序
保护接口
保护网络

重要的是要了解，在某些时候，您的网站或应用程序的合法流量将通过DDoS提供商的网络：

如果 DDoS 服务是按需提供的，则在发生攻击时，流量将切换到 DDoS 提供商
如果DDoS服务始终处于打开状态（具有显着的优势），则所有流量都将通过提供商的服务器

数据中心和 DDoS 提供商之间的连接必须非常高性能，否则可能会导致用户出现高延迟。您应该评估：

DDoS 提供商提供哪些地理接入点（PoP）以及它们与您的数据中心的距离
您的 DDoS 提供商是否在您的主要客户群所在位置提供 PoP
DDoS 提供商是否提供最先进的路由技术，以确保与您的数据中心和用户的最佳连接

第一点是最重要的 - 例如，考虑一家总部位于印度的公司，与仅在欧洲拥有PoP的DDoS服务合作。每个用户请求都必须前往欧洲PoP，从那里到印度的数据中心，回到欧洲数据中心，然后回到用户。

即使用户实际上位于欧洲，也会发生这种情况。如果用户（如我们示例中的公司）位于印度或其他不受支持的位置，则延迟将成倍增加。

两个选项：

始终打开 – 始终转到 DDoS 缓解提供商
按需 – 当发生攻击时

缓解时间

保护网站
保护应用程序
保护接口
保护网络

一旦检测到攻击，缓解措施的时间就至关重要。大多数攻击可以在几分钟内击落目标，恢复过程可能需要数小时。您的组织可能会在未来数周和数月内感受到此类停机时间的负面影响。

通过提供抢先检测，始终在线的解决方案在这方面具有明显的优势。它们提供近乎即时的缓解措施，通常可以保护组织免受任何攻击期间的第一次齐射。寻找能够在几秒钟内响应攻击的解决方案。

但并非所有始终在线的解决方案都能提供这样的响应级别。这就是为什么在评估DDoS保护提供商时，除了在服务试用期间对其进行测试外，还应询问缓解时间的原因。

网络层缓解

保护网站
保护网络

网络层 DDoS 攻击本质上是容量耗尽的 - 它们依赖于非常大的流量，这可能会对您的基础架构造成更大的损害。DDoS提供商有几种方法来缓解网络攻击。所有这些方法的目标都是将合法流量与恶意流量分开，摆脱恶意数据包，同时允许合法数据包到达目的地。

检查您的 DDoS 缓解提供商支持哪些方法：

空路由 - 空路由（又名黑洞）将所有流量定向到不存在的 IP 地址。它的缺点是它可能会导致高比率的误报 - 处理恶意和合法访问者。
Sinkholing - 此方法将恶意流量从其目标转移出去，通常使用已知恶意 IP 地址的列表来识别 DDoS 流量。虽然不像空路由那样不加区分，但沉没仍然容易出现误报，因为僵尸网络IP也可以被合法用户使用。此外，sinkholing 对 IP 欺骗是无效的，IP 欺骗是网络层攻击中的常见特征。
清理 - 对任意沉孔的改进，清理通过安全服务路由所有入口流量。恶意网络数据包根据其标头内容、大小、类型、来源点等进行识别。挑战在于以内联速率执行清理，而不会造成延迟或以其他方式影响合法用户。
IP 屏蔽 - 此方法通过隐藏源站服务器的 IP 来防止直接到 IP 的 DDoS 攻击。

应用层缓解

保护网站
保护应用程序
保护接口

应用层（OSI第7层）DDoS攻击比网络层攻击隐蔽得多，通常模仿合法用户流量来逃避安全措施。为了阻止它们，您的解决方案应该能够分析传入的HTTP / S流量，区分DDoS机器人和合法访问者。

主要特点：

用于识别合法流量的多种检查方法 - 服务应检查 IP 和自治系统编号（ASN），提供 HTTP/S 标头内容的交叉检查，并检查行为模式，以查看每个会话是合法用户会话还是 DDoS 攻击的一部分。
多重挑战 - 许多安全服务使用挑战来测试流量是恶意的还是合法的，例如测试每个请求解析JavaScript和保存cookie的能力。确保该服务不会过度使用CAPTCHA，“延迟页面”和其他可能惹恼合法访问者并损害网站参与度的过滤方法。

二级资产保护

保护应用程序
保护接口

您的网络基础结构可能包含许多服务器和其他 IT 资产。这些可能包括Web服务器，DNS服务器，电子邮件服务器，FTP服务器和后台CRM或ERP平台。在DDoS攻击场景中，它们也可能成为犯罪者的目标，导致停机或以其他方式使您的业务瘫痪。

评估整个网络基础设施风险，并确定需要保护哪些组件。至少要记住，您的 DNS 服务是最常见的攻击目标之一，也是您的单点故障。

主要特点：

DNS 名称服务器保护 - 防止 DNS 泛滥和其他旨在使 DNS 名称服务器崩溃或中断的 DDoS 技术。
应用程序保护 — 保护电子邮件、FTP、CRM、ERP 等常见应用程序。

保护个人 IP

保护网站
保护应用程序
保护接口

传统上，基于云的DDoS保护服务只能保护整个IP范围。很难将这种保护扩展到特定的云环境和资产，直到单个IP地址的级别。

高级 DDoS 服务为单个 IP 提供保护，允许您注册公共 IP 或域名，将 DDoS 服务添加到 DNS 配置中，并启用对该特定 IP 的即时保护。