什麼是 DDoS 防護?
DDoS 防護指成功保護目標伺服器或網路免受分散式阻斷服務 (DDoS) 攻擊的這一過程。利用專門設計的網路設備或雲端型保護服務,目標受害者便能緩解傳入的威脅。
利用雲端型提供者緩解 DDoS 攻擊分為 4 個階段:
- 偵測 - 為了阻止分散式攻擊,網站需要能夠將攻擊與大量正常流量區分開來。如果產品版本或其他公告使網站被合法的新訪客所淹沒,網站需要做的最後一件事便是將這些訪客節流,或阻止其瀏覽該網站的內容。IP 聲譽、常見攻擊模式及先前資料可對適當的偵測給予協助。
- 回應——在此步驟中,DDoS 網路保護透過智慧地阻擋惡意傀儡程式流量並吸收其餘流量來應對識別出的傳入威脅。使用 WAF Page Rule 進行應用程式層 (L7) 攻擊,或使用其他過濾過程來處理較低級別 (L3 / L4) 攻擊,例如 memcached 或 NTP放大,網路就可以緩解破壞威脅。
- 路由傳送——透過智慧路由傳送流量,有效的 DDoS 防護解決方案會將剩餘流量分為可管理的區塊,從而防止拒絕服務。
- 調節 - 良好的網路可分析各模式流量,例如重複攻擊型 IP 封鎖、來自特定國家/地區的特定攻擊或使用不當的特定通訊協定。透過適應攻擊模式,保護服務可加強自身對將來攻擊的防範。
選擇一款 DDoS 防護服務
傳統的 DDoS 緩解解決方案涉及購買存在於網站的設備,並篩選傳入流量。此方法涉及購買和維護昂貴的設備,還依賴於是否能使網路承受攻擊。如果 DDoS 攻擊足夠大,它可移除上游網路基礎結構,避免影響任何現場解決方案的有效性。購買基於雲端的 DDoS 緩解服務時,應評估特定特性。
- 擴展 - 有效的解決方案需要能夠適應日漸增長的業務需求以及回應規模不斷壯大的 DDoS 攻擊。出現大於每秒 2 TB (Tbps) 的攻擊者,沒有跡象表明攻擊流量大小出現下降的趨勢。Cloudflare 網路能處理比史上所有攻擊更大的 DDoS 攻擊。
- 靈活性 - 能夠建立臨機操作原則和模式,使 Web 資產能夠即時適應傳入的威脅。是否能執行 Page Rule 並在整個網路中填入上述變更,是在攻擊期間使網站保持線上狀態的一個重要功能。
- 可靠性 - 與座椅安全帶非常類似,DDoS 保護是指僅在您需要時出現,但又最好具備功能的一種防護。DDoS 解決方案的可靠性對所有保護策略的成功至關重要。確保該服務具有較高的正常運作時間速率和網站可靠性,工程師必須一天 24 小時工作以使網路保持線上狀態並識別新的威脅。備援、容錯移轉和龐大的資料中心網路應為該平台原則的核心。
- 網路規模 - 特定通訊協定和攻擊向量隨時間而變化,因此 DDoS 攻擊包含在網際網路中出現的模式。具備帶有大規模資料傳輸的大型網路,使 DDoS 防護提供者能快速分析並回應攻擊,通常在發生攻擊前便予以阻止。Cloudflare 的網路為數百萬個網站執行網際網路請求,在分析來自全球攻擊流量的資料方面創造了優勢。