什麼是 DDoS 防護?

Properly implemented DDoS mitigation is what keeps websites online during an attack. Explore the process of DDoS mitigation and the important characteristics to look for in a mitigation service.

學習目標

閱讀本文後,您將能夠:

  • 探索 DDoS 攻擊的防護策略
  • 瞭解 DDoS 攻擊的範圍
  • 強調常見攻擊

複製文章連結

什麼是 DDoS 防護?

DDoS 防護指成功保護目標伺服器或網路免受分散式阻斷服務 (DDoS) 攻擊的這一過程。利用專門設計的網路設備或雲端型保護服務,目標受害者便能緩解傳入的威脅。

DDoS 防護階段

利用雲端型提供者緩解 DDoS 攻擊分為 4 個階段:

  1. 偵測 - 為了阻止分散式攻擊,網站需要能夠將攻擊與大量正常流量區分開來。如果產品版本或其他公告使網站被合法的新訪客所淹沒,網站需要做的最後一件事便是將這些訪客節流,或阻止其瀏覽該網站的內容。IP 聲譽、常見攻擊模式及先前資料可對適當的偵測給予協助。
  2. 回應——在此步驟中,DDoS 網路保護透過智慧地阻擋惡意傀儡程式流量並吸收其餘流量來應對識別出的傳入威脅。使用 WAF Page Rule 進行應用程式層 (L7) 攻擊,或使用其他過濾過程來處理較低級別 (L3 / L4) 攻擊,例如 memcached NTP放大,網路就可以緩解破壞威脅。
  3. 路由傳送——透過智慧路由傳送流量,有效的 DDoS 防護解決方案會將剩餘流量分為可管理的區塊,從而防止拒絕服務
  4. 調節 - 良好的網路可分析各模式流量,例如重複攻擊型 IP 封鎖、來自特定國家/地區的特定攻擊或使用不當的特定通訊協定。透過適應攻擊模式,保護服務可加強自身對將來攻擊的防範。

選擇一款 DDoS 防護服務

傳統的 DDoS 防護方案涉及購買可現場使用並過濾傳入流量的設備。這種方法涉及購買和維護昂貴的設備,並且還依賴於具有能夠吸收攻擊的網路。如果 DDoS 攻擊足夠大,它可能會將影響上游的網路基礎結構,從而使任何現場解決方案均無效。購買基於雲端的 DDoS 防護服務時,應評估某些特徵。

  1. 擴展 - 有效的解決方案需要能夠適應日漸增長的業務需求以及回應規模不斷壯大的 DDoS 攻擊。出現大於每秒 2 TB (Tbps) 的攻擊者,沒有跡象表明攻擊流量大小出現下降的趨勢。Cloudflare 網路能處理比史上所有攻擊更大的 DDoS 攻擊。
  2. 靈活性 - 能夠建立臨機操作原則和模式,使 Web 資產能夠即時適應傳入的威脅。是否能執行 Page Rule 並在整個網路中填入上述變更,是在攻擊期間使網站保持線上狀態的一個重要功能。
  3. 可靠性 - 與座椅安全帶非常類似,DDoS 保護是指僅在您需要時出現,但又最好具備功能的一種防護。DDoS 解決方案的可靠性對所有保護策略的成功至關重要。確保該服務具有較高的正常運作時間速率和網站可靠性,工程師必須一天 24 小時工作以使網路保持線上狀態並識別新的威脅。備援、容錯移轉和龐大的資料中心網路應為該平台原則的核心。
  4. Network size - DDoS attacks have patterns that occur across the Internet as particular protocols and attack vectors change over time. Having a large network with extensive data transfer allows a DDoS mitigation provider to analyze and respond to attacks quickly and efficiently, often stopping them before they ever occur. Cloudflare’s network runs Internet requests for millions of websites, creating an advantage in analyzing data from attack traffic around the globe.