什麼是 DDoS 防護?

妥善實施的 DDoS 防護是在攻擊期間使網站保持線上狀態的原因。探索 DDoS 緩解過程以及要在緩解服務中尋找的重要特徵。

學習目標

閱讀本文後,您將能夠:

  • 探索 DDoS 攻擊的防護策略
  • 瞭解 DDoS 攻擊的範圍
  • 強調常見攻擊

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 DDoS 防護?

DDoS 防護指成功保護目標伺服器或網路免受分散式阻斷服務 (DDoS) 攻擊的這一過程。利用專門設計的網路設備或雲端型保護服務,目標受害者便能緩解傳入的威脅。

DDoS 防護階段

利用雲端型提供者緩解 DDoS 攻擊分為 4 個階段:

  1. 偵測 - 為了阻止分散式攻擊,網站需要能夠將攻擊與大量正常流量區分開來。如果產品版本或其他公告使網站被合法的新訪客所淹沒,網站需要做的最後一件事便是將這些訪客節流,或阻止其瀏覽該網站的內容。IP 聲譽、常見攻擊模式及先前資料可對適當的偵測給予協助。
  2. 回應——在此步驟中,DDoS 網路保護透過智慧地阻擋惡意傀儡程式流量並吸收其餘流量來應對識別出的傳入威脅。使用 WAF Page Rule 進行應用程式層 (L7) 攻擊,或使用其他過濾過程來處理較低級別 (L3 / L4) 攻擊,例如 memcached NTP放大,網路就可以緩解破壞威脅。
  3. 路由傳送——透過智慧路由傳送流量,有效的 DDoS 防護解決方案會將剩餘流量分為可管理的區塊,從而防止拒絕服務
  4. 調節 - 良好的網路可分析各模式流量,例如重複攻擊型 IP 封鎖、來自特定國家/地區的特定攻擊或使用不當的特定通訊協定。透過適應攻擊模式,保護服務可加強自身對將來攻擊的防範。
受到攻擊?
全面防禦網路攻擊

選擇一款 DDoS 防護服務

傳統的 DDoS 緩解解決方案需要購買駐留在現場並篩選傳入流量的設備。這種方法不僅需要購買和維護昂貴的設備,而且還依賴能夠吸收攻擊的網路。如果 DDoS 攻擊規模足夠大,它可能會破壞上游的網路基礎架構,從而阻止任何現場解決方案發揮作用。購買基於雲端的 DDoS 防禦服務時,應評估某些特性。

  1. 擴展 - 有效的解決方案需要能夠適應日漸增長的業務需求以及回應規模不斷壯大的 DDoS 攻擊。出現大於每秒 2 TB (Tbps) 的攻擊者,沒有跡象表明攻擊流量大小出現下降的趨勢。Cloudflare 網路能處理比史上所有攻擊更大的 DDoS 攻擊。
  2. 靈活性 - 能夠建立臨機操作原則和模式,使 Web 資產能夠即時適應傳入的威脅。是否能執行 Page Rule 並在整個網路中填入上述變更,是在攻擊期間使網站保持線上狀態的一個重要功能。
  3. 可靠性 - 與座椅安全帶非常類似,DDoS 保護是指僅在您需要時出現,但又最好具備功能的一種防護。DDoS 解決方案的可靠性對所有保護策略的成功至關重要。確保該服務具有較高的正常運作時間速率和網站可靠性,工程師必須一天 24 小時工作以使網路保持線上狀態並識別新的威脅。備援、容錯移轉和龐大的資料中心網路應為該平台原則的核心。
  4. 網路規模 - 特定通訊協定和攻擊向量隨時間而變化,因此 DDoS 攻擊包含在網際網路中出現的模式。具備帶有大規模資料傳輸的大型網路,使 DDoS 防護提供者能快速分析並回應攻擊,通常在發生攻擊前便予以阻止。Cloudflare 的網路為數百萬個網站執行網際網路請求,在分析來自全球攻擊流量的資料方面創造了優勢。
  5. 常見問題集

    DDoS 緩解的主要目標是什麼?

    DDoS 緩解旨在保護網路或伺服器免受分散式阻斷服務攻擊。其目標是透過攔截攻擊流量並吸納剩餘流量來保持網站或服務的線上運作。

    DDoS 防護服務如何區分攻擊與真實訪客?

    DDoS 緩解解決方案會使用多種因素來識別合法流量,包括常見的攻擊模式、IP 信譽以及歷史資料。這能確保當網站湧入大量真實訪客時,他們不會被意外封鎖或限流。

    應對 DDoS 威脅的關鍵階段有哪些?

    一旦識別出威脅,防護網路就會阻擋惡意機器人流量,同時吸納剩餘流量。一個有效的解決方案還會將流量引導至可管理的區段,以防止在流量異常龐大時發生服務阻斷。

    為什麼在選擇緩解服務提供者時,網路規模很重要?

    更大的網路規模讓提供者能夠分析來自全球數百萬個網站的資料,藉此識別不斷變化的通訊協定與攻擊手段。擁有龐大的資料傳輸容量,有助於提供者更有效率地回應並阻擋攻擊,有時甚至能在攻擊發動前就加以攔截。

    雲端服務如何處理大規模巨流量 DDoS 攻擊?

    專為 DDoS 緩解設計的可擴充雲端解決方案,能夠處理超過每秒 2 TB (Tbps) 的大型攻擊。與可能因大規模攻擊而導致上游基礎架構癱瘓的本地硬體不同,雲端網路規模龐大,足以吸納這些巨量流量。雲端型 DDoS 緩解也能避免使用清除中心(一種遠端資料中心,所有網路流量都必須經過此處,以便濾除惡意流量)所帶來的延遲問題。

    適應性在長期 DDoS 防護中扮演什麼角色?

    高品質的 DDoS 緩解網路會持續分析流量以尋找攻擊模式,例如特定通訊協定遭到濫用,或重複出現的惡意 IP 區塊。透過適應這些模式,服務可以強化自身防護,以應對未來的威脅。

    哪些功能可以確保 DDoS 緩解服務的可靠性?

    可靠性是透過高正常運作時間率、備援機制,以及全球資料中心網路的組合來維持的。此外,擁有全年無休的網站可靠性工程師隨時待命以識別新威脅,對於成功的防護策略至關重要。