什麼是 DDoS 防護?

妥善實施的 DDoS 防護是在攻擊期間使網站保持線上狀態的原因。探索 DDoS 防護流程及在服務中搜尋的重要特性。

Share facebook icon linkedin icon twitter icon email icon

DDoS 防護

學習目標

閱讀本文後,您將能夠

  • 探索 DDoS 攻擊的防護策略
  • 瞭解 DDoS 攻擊的範圍
  • 強調常見攻擊

什麼是 DDoS 防護?

DDoS 防護指成功保護目標伺服器或網路免受分散式阻斷服務 (DDoS) 攻擊的這一過程。利用專門設計的網路設備或雲端型保護服務,目標受害者便能緩解傳入的威脅。

DDoS 防護階段

利用雲端型提供者緩解 DDoS 攻擊分為 4 個階段:

  1. 偵測 - 為了阻止分散式攻擊,網站需要能夠將攻擊與大量正常流量區分開來。如果產品版本或其他公告使網站被合法的新訪客所淹沒,網站需要做的最後一件事便是將這些訪客節流,或阻止其瀏覽該網站的內容。IP 信譽、常見攻擊模式及先前資料可對適當的偵測給予協助。
  2. 回應 - 在此步驟中,DDoS 保護網路將智慧地減少惡意傀儡程式流量,並吸收剩餘流量,以回應傳入的已識別威脅。利用應用程式層 (L7) 攻擊的 WAF Page Rule,或其他篩選程序處理較低層 (L3/L4) 攻擊 (例如 MemcachedNTP 放大),網路便能緩解中斷嘗試。
  3. 路由傳送 - 透過智慧地路由傳送流量,有效的 DDoS 防護解決方案將剩餘流量分解為可管理的區塊,避免了阻斷服務
  4. 調節 - 良好的網路可分析各模式流量,例如重複攻擊型 IP 封鎖、來自特定國家/地區的特定攻擊或使用不當的特定通訊協定。透過適應攻擊模式,保護服務可加強自身對將來攻擊的防範。

選擇一款 DDoS 防護服務

傳統的 DDoS 防護解決方案涉及購買存在於網站的設備,並篩選傳入流量。此方法涉及購買和維護昂貴的設備,還依賴於是否能使網路承受攻擊。如果 DDoS 攻擊足夠大,它可移除上游網路基礎結構,避免影響任何現場解決方案的有效性。購買雲端型 DDoS 防護服務時,應評估特定特性。

  1. 擴展 - 有效的解決方案需要能夠適應日漸增長的業務需求以及回應規模不斷壯大的 DDoS 攻擊。出現大於每秒 1 TB (TBPS) 的攻擊者,沒有跡象表明攻擊流量大小出現下降的趨勢。Cloudflare 網路能處理比以往大 10 倍的 DDoS 攻擊。
  2. 靈活性 - 能夠建立臨機操作原則和模式,使 Web 資產能夠即時適應傳入的威脅。是否能執行 Page Rule 並在整個網路中填入上述變更,是在攻擊期間使網站保持線上狀態的一個重要功能。
  3. 可靠性 - 與座椅安全帶非常類似,DDoS 保護是指僅在您需要時出現,但又最好具備功能的一種防護。DDoS 解決方案的可靠性對所有保護策略的成功至關重要。確保該服務具有較高的正常運作時間速率和網站可靠性,工程師必須一天 24 小時工作以使網路保持線上狀態並識別新的威脅。冗餘、容錯移轉和龐大的資料中心網路應為該平台原則的核心。
  4. 網路規模 - 特定通訊協定和攻擊向量隨時間而變化,因此 DDoS 攻擊包含在網際網路中出現的模式。具備帶有大規模資料傳輸的大型網路,使 DDoS 防護提供者能快速分析並回應攻擊,通常在發生攻擊前便予以阻止。Cloudflare 網絡為 ~10% 的財富 1,000 強企業執行網際網路要求,在分析來自全球攻擊流量的資料方面創造了優勢。