如何防範 DDoS 攻擊 | 方法和工具

減少攻擊面、即時威脅偵測和始終在線的 DDoS 緩解可以幫助在攻擊到達目標基礎架構和系統之前阻止攻擊。

學習目標

閱讀本文後,您將能夠:

  • 說明 DDoS 攻擊的運作方式
  • 探索 DDoS 攻擊防禦策略
  • 瞭解 Cloudflare 如何協助防止攻擊

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

DDoS 攻擊如何運作

分散式阻斷服務 (DDoS) 攻擊透過向伺服器、服務或網路傳送大量不必要的網際網路流量來破壞其運作。在最壞的情況下,這些攻擊可能會導致網站或整個網路長時間離線。

DDoS 攻擊透過多台電腦或機器將惡意流量引導至目標。通常,這些機器形成殭屍網路:一組已被惡意程式碼入侵並由單一攻擊者控制的裝置。其他 DDoS 攻擊可能涉及多個攻擊者或 DDoS 攻擊工具,例如壓力測試應用程式(例如 LOIC)或低速緩慢程式(例如 Slowloris)。

攻擊者可能會使用以下一種或多種策略對其目標進行 DDoS 攻擊:

  1. 應用程式層攻擊也稱為第 7 層 DDoS 攻擊,其透過看似合法的 HTTP 請求淹沒目標伺服器和網路資源,從而造成阻斷服務。
  2. 通訊協定攻擊狀態耗盡攻擊,透過使用第 3 層或第 4 層通訊協定(例如 ICMP )向目標傳送大量不需要的流量來壓垮網路設備和基礎架構。
  3. 巨流量攻擊使用放大技術(例如,部署殭屍網路或利用常見的網路通訊協定)來消耗目標的所有可用頻寬。

要深入瞭解 DDoS 攻擊所採用的策略,請閱讀什麼是分散式阻斷服務 (DDoS) 攻擊?

如何防範 DDoS 攻擊

防止 DDoS 攻擊可能具有挑戰性,特別是在高流量期間或跨越龐大的分散式網路架構時。真正主動的 DDoS 威脅防禦取決於幾個關鍵因素:減少攻擊面、威脅監控和可擴展的 DDoS 緩解工具。

DDoS 防禦方法

  • 減少攻擊面:限制攻擊面暴露有助於最大程度地減少 DDoS 攻擊的影響。減少這種暴露的幾種方法包括限制前往特定位置的流量、實施負載平衡器,以及封鎖來自過時或未使用的連接埠、通訊協定和應用程式的通訊。
  • Anycast 網路擴散:Anycast網路有助於增加組織網路的表面積,以便透過將流量分配到多個分散式伺服器來更輕鬆地吸收流量峰值(並防止服務中斷)。
  • 即時、自適應威脅監控:記錄監控可以透過分析網路流量模式、監控流量暴增或其他異常活動,以及進行調節來防禦異常或惡意請求、通訊協定和 IP 封鎖,從而幫助找出潛在威脅。
  • 快取:快取儲存請求內容的復本,以便從來源伺服器服務更少的請求。使用內容傳遞網路 (CDN) 快取資源可以減輕組織伺服器的壓力,並使伺服器沒那麼容易因合法和惡意請求而過載。
  • 限速:限速限制特定時間段內的網路流量,從根本上防止 Web 伺服器被來自特定 IP 位址的請求淹沒。限速可用於防止利用殭屍網路向端點一次性傳送異常數量請求的 DDoS 攻擊。

DDoS 預防工具

  • Web 應用程式防火牆 (WAF):WAF 使用可自訂的原則來篩選、檢查和封鎖 Web 應用程式與網際網路之間的惡意 HTTP 流量,從而協助封鎖攻擊。藉助 WAF,組織可以實施積極和消極的安全模型,控制來自特定位置和 IP 位址的傳入流量。
  • 始終在線的 DDoS 緩解:DDoS 緩解提供者可以透過持續分析網路流量、針對新興攻擊模式實作原則變更以及提供廣泛且可靠的資料中心網路,來幫助防止 DDoS 攻擊。在評估基於雲端的 DDoS 緩解服務時,請尋找能夠針對複雜的巨流量攻擊提供自適應、可擴展且始終在線的威脅防護的提供者。

若想更深入瞭解 DDoS 緩解工具和策略,請閱讀什麼是 DDoS 緩解?

Cloudflare 如何協助防止 DDoS 攻擊

Cloudflare 提供整合的 L3-7 DDoS 防護,可協助組織在攻擊到達目標應用程式、網路和基礎架構之前監控、預防和緩解攻擊。我們分層威脅防禦的一些主要優點包括:

  • 覆蓋全球 310 座城市和 120 個國家的全球 Anycast 網路,甚至能夠吸收最大的 DDoS 攻擊
  • 流量路由和加速有助於在我們的網路中分散流量暴增並最大限度地減少延遲和擁塞
  • 始終在線的自動 DDoS 緩解,可在三秒內偵測並封鎖惡意流量
  • 新一代 WAF,提供進階限速、定制規則集和靈活的威脅預防

遭到攻擊?透過Cloudflare 網路緊急熱線立即獲得 DDoS 防護。