来源:网络 发布时间:2020-07-10 06:07:00时间:07-10 06:07
减少DDoS是指成功保护目标免受分布式拒绝服务(DDoS)攻击的过程。典型的缓解过程可以广泛地由这四个阶段来定义:
1.检测:识别可能表示DDoS攻击建立的交通流偏差。有效性通过您尽早识别攻击的能力来衡量,即时检测是最终目标。
2.转移:流量从目标转向或者被过滤或者完全丢弃。
3.过滤:DDoS流量被淘汰,通常通过识别即时区分合法流量(即人类和API调用还有搜索引擎机器人)和恶意访问者的模式。响应能力是您能够在不干扰用户体验的情况下阻止攻击的功能。目标是让您的解决方案对网站访问者完全透明。
4.分析:审查安全日志以收集有关攻击的信息以识别罪犯并提高将来的弹性。该过程的有效性依赖于存在详细的安全日志,可以提供攻击流量的详细可视性。
转移技术:DNS与BGP路由
上述过程依赖于可以将攻击流量从其目标转移出去的重新路由机制。在大多数情况下缓解解决方案将使用DNS(域名系统)或BGP(边界网关协议)路由来转移攻击流量。该选择将定义其功能以及它可提供的安全功能的类型。
DNS路由(又名DNS重定向)是永远在线的DDoS缓解服务常用的一种方法。通过更改您的CNAME和A记录来激活DNS路由,以便将它们指向您的缓解提供商的IP。之后DNS最初将所有传入的HTTP / S请求路由到您的提供者的清理服务器,在那里恶意请求被丢弃并且合法的请求被转发。DNS重定向仅在缓解应用层攻击方面真正起作用。但是它具有屏蔽域名IP地址的好处。这提供了一些针对直接到IP网络层攻击的保护措施。
BGP路由是手动激活的解决方案。它可以减轻直接针对您的托管服务器和其他网络资产的IP地址的网络层DDoS攻击。通过BGP通知激活它将来自IP地址的所有网络层数据包转移到您的缓解提供商的清理服务器。有恶意的数据包被过滤掉,剩余的数据通过安全的GRE隧道转发到您的系统。BGP路由是最全面的流量转移方法。它在所有协议中都很有效,可以防止所有类型的网络和应用层攻击。BGP路由的好处被它必须手动激活所抵消。这可能会缩短响应时间并导致一些攻击流量泄漏。
在基于DNS和BGP的解决方案之间做出决定通常归结为以下问题:我更可能面对哪种类型的攻击?然而从安全角度来看最好的做法是同时使用DNS和BGP路由,前者用于防范应用层攻击后者用于抵御直接对IP攻击和其他网络层威胁。
选择缓解提供者:
除了流量转移方法之外在选择缓解提供商时还有几个其他关键方面需要考虑。这些包括:
1.网络容量
网络容量仍然是对DDoS缓解服务进行基准测试的好方法。它以Gbps(千兆比特每秒)或Tbps(每秒兆兆比特)为单位进行度量并反映攻击期间可用的整体可扩展性。例如1 Tbps网络在理论上可以阻断高达相同数量的攻击流量,减去维持其正常操作所需的带宽。大多数基于云的缓解服务提供多Tbps的网络容量,远远超出任何个人客户可能需要的。另一方面内部部署的DDoS缓解设备默认受到限制,无论是组织网络管道的大小还是内部硬件容量。
2.处理能力
除吞吐能力外还应考虑缓解解决方案的处理能力。它们以转发速率表示以Mpps(每秒数百万个数据包)度量。攻击峰值高于50 Mpps并不少见,有些甚至高达200 - 300 Mpps甚至更高。超过缓解提供商处理能力的攻击将推翻其防御措施,这就是为什么您应该提前询问这种限制的原因。
3.时间减缓
一旦发现攻击缓解时间至关重要。大多数袭击可以在几分钟内取下目标,恢复过程可能需要几个小时。这种停机时间的负面影响可能会让您的组织在未来数周和数月内感受到。通过提供抢先检测永远在线的解决方案在这里具有明显的优势。他们提供了近乎即时的缓解措施,通常可以在发生任何袭击时保护组织免受第一次袭击。但并非所有永远在线的解决方案都能提供这样的响应级别。因此在评估DDoS防护提供商时除了在服务试用期间对其进行测试之外,还应该在检查清单中查询缓解时间。
网络层缓解技术:
各种服务提供商有不同的网络层防护方法(OSI第3-4层)DDoS攻击,其中一些防御网络攻击不是很好:
1.空路由:空路由(又名blackholing)将所有流量引导到一个不存在的IP地址。它的缺点是它很可能会导致很高的误报率,处置恶意和合法的访问者。
2.沉没:这种方法将恶意流量从其目标转移出去,通常使用已知的恶意IP地址列表来识别DDoS流量。尽管不像空路由那样不分青红皂白,但由于僵尸网络IP也可以被合法用户使用,所以仍然容易出现误报。而且sinkholing对IP欺骗是无效的,这是网络层攻击的共同特征。
3.洗涤:对任意洗涤池的改进,洗涤通过安全服务路由所有入口流量。恶意网络数据包是基于它们的头部内容,大小,类型,起点等来识别的。挑战是以内联速率执行清理,而不会造成滞后或以其他方式影响合法用户。
应用层缓解技术:
应用层(OSI第7层)DDoS攻击通常模仿合法用户流量来逃避安全措施,而且比网络层对手隐身得多。要阻止它们您的解决方案应该能够分析传入的HTTP / S流量,区分DDoS僵尸程序和合法访问者。在缓解服务试验期间测试其应用层防御至关重要。除IP和自治系统编号(ASN)信息外,有效过滤还使用HTTP / S标头内容和行为模式的交叉检查。许多安全服务也使用不同类型的挑战,比如测试每个请求的解析JavaScript和保存cookie的能力。验证服务不会过度使用CAPTCHA,“延迟页面”以及其他类似的过滤方法,这些方法只会影响合法访问者这一点同样重要。
保护二级资产:
您的网络基础架构可能包含大量服务器和其他IT资产。这些可能包括网络服务器和DNS服务器,电子邮件服务器和FTP服务器和后台CRM或ERP平台。在DDoS攻击情况下它们可能也会成为攻击者的目标,导致停机或以其他方式瘫痪您的业务。评估您的整个网络基础设施风险并确定需要保护哪些组件。请记住您的DNS服务是最常见的攻击目标之一,也是您的单点故障。
多种技术服务和提供商构成了DDoS缓解市场:
以安全为重点的专业公司提供更先进的解决方案,通常有专家致力于持续的安全研究和全天候监测新的攻击媒介。诸如ISP和托管服务提供商等通用主义提供基本的缓解解决方案,作为其核心服务的“附加组件”,旨在将其推广给现有客户。一般提供商的缓解服务可能适用于小型简单的攻击。但是如果您的在线应用程序对于日常业务运营至关重要,那么专业服务提供商是您的组织的最佳和最低风险选择。CDN互联专业提供DDOS缓解解决方案适用于大中小各种网站,保障您的网站正常稳定运行!
CDN互联专业提供国内外高防cdn加速服务
