什麼是 DDoS 防護?

妥善實施的 DDoS 防護是在攻擊期間使網站保持線上狀態的原因。 探索 DDoS 防護流程及在服務中搜尋的重要特性。

Share facebook icon linkedin icon twitter icon email icon

DDoS 防護

學習目標

閱讀本文後,您將能夠:

  • 探索 DDoS 攻擊的防護策略
  • 瞭解 DDoS 攻擊的範圍
  • 強調常見攻擊

什麼是 DDoS 防護?

DDoS防護是指成功保護目標伺服器或網路免受分佈式拒絕服務(DDoS)攻擊 。透過利用專門設計的網路設備或基於雲端的保護服務,目標受害者可以防護傳入的威脅。

DDoS Mitigation Stages

利用雲端型提供者緩解 DDoS 攻擊分為 4 個階段:

  1. 檢測 —— 為了阻止分佈式攻擊,網站需要能夠將此類攻擊與大量正常流量區分開。如果產品發布或其他公告讓網站增長了大量合法的新訪客,那該網站肯定不希望限制他們的訪問,或者阻止他們查看該網站的內容。目前有幾種方式可以幫助做出正確的偵測,如 IP信譽、常見攻擊模式和先前的數據統計。
  2. 響應——在此步驟中,DDoS網路保護透過智慧地阻擋惡意傀儡程式流量並吸收其餘流量來應對識別出的傳入威脅。使用 WAF 頁面規則進行應用程式層(L7)攻擊,或使用其他過濾過程來處理較低級別(L3 / L4)攻擊,例如 memcached NTP放大 ,網絡就可以減輕破壞威脅。
  3. 路由傳送——透過智慧路由傳送流量,有效的DDoS 防護解決方案會將剩餘流量分為可管理的塊,從而防止拒絕服務
  4. 適應良好的網絡會分析流量的模式,例如重複出現問題的IP塊,來自某些國家的特定攻擊或使用不正確的特定通訊協定。通過適應攻擊方式,保護服務可以增強自身抵抗未來攻擊的能力。

選擇一款 DDoS 防護服務

傳統的DDoS防護方案涉及購買可現場使用並過濾傳入流量的設備。這種方法涉及購買和維護昂貴的設備,並且還依賴於具有能夠吸收攻擊的網路。如果DDoS攻擊足夠大,它可能會將影響上游的網路基礎結構,從而使任何現場解決方案均無效。購買基於雲端的DDoS防護服務時,應評估某些特徵。

  1. 可擴展性—— 一個有效的解決方案需要能夠適應不斷增長的業務需求,並能夠應對不斷增長的DDoS攻擊規模。發生了每秒大於1 TB(TBPS)的攻擊,並且沒有跡象表明攻擊流量的大小呈下降趨勢。 Cloudflare的網路能夠處理比以往大10倍的DDoS攻擊。
  2. 靈活性——能夠創建臨時策略和模式,使網路媒體資源可以實時適應傳入的威脅。實施頁面規則並在整個網路中填充這些更改的功能是在攻擊過程中使站點保持在線狀態的一項重要功能。
  3. 可靠性——就像安全帶一樣,DDoS保護是只在需要時才會用到的東西,但當需要的那一刻來臨的時候,它最好是已準備好發揮作用。 DDoS解決方案的可靠性對於任何保護策略的成功都是至關重要的。確保該服務具有較高的正常運行時間,並且站點可靠性工程師全天24小時不間斷地工作,以使網絡保持聯機狀態並發現新的威脅。冗餘、故障轉移和龐大的資料中心網路應成為平台戰略的核心。
  4. 網路規模—— DDoS攻擊的模式會在網路上發生,因為特定的通訊協定和攻擊向量會隨時間變化。擁有大型網路並可以進行廣泛的數據傳輸讓DDoS防護供應商可以快速有效地分析和響應攻擊,並經常在攻擊發生之前將其阻止。 Cloudflare網路運行的互聯網請求約佔《財富》1000強企業的10%,在分析來自全球攻擊流量的數據方面具有優勢。