在這篇文章的前半部分，了解 DDoS 攻擊，我們討論了 DDoS 攻擊的具體細(xì)節(jié)。在這里，我們將討論您可以如何采取實(shí)際步驟來保護(hù)您的組織免受 DDoS 的破壞。超過80% 的公司在 2017 年至少經(jīng)歷過一次 DDoS 攻擊。這不再是是否會發(fā)生的問題，而是您所在的組織何時(shí)會受到 DDoS 攻擊的問題。公司如何實(shí)施有效的策略來防御 DDoS 攻擊？讓我們來看看。

緩解 DDoS 攻擊的最佳實(shí)踐

2016 年，我們看到了第一次武器化的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊，它使用Mirai 惡意軟件有效地摧毀了Netflix、Twitter、Reddit 等主流網(wǎng)站。從那時(shí)起，黑客可用的工具和方法只會增加。更糟糕的是，發(fā)起 DDoS 攻擊的價(jià)格已經(jīng)下降。它只會花費(fèi)需要你的僵尸網(wǎng)絡(luò)租用20 $有290-300吉比特保證DDoS攻擊速率。

對于每個(gè)企業(yè)來說，擁有某種針對大型 DDoS 攻擊的保護(hù)措施非常重要。許多經(jīng)典的 DDoS 保護(hù)形式無法對數(shù)據(jù)沖擊采取細(xì)致入微的方法。他們沒有將合法數(shù)據(jù)與惡意數(shù)據(jù)分開，而是簡單地不加選擇地丟棄所有傳入的數(shù)據(jù)。

但是，并非每種類型的 DDoS 保護(hù)都對每種類型的攻擊都有效。基于流量的監(jiān)控對于容量攻擊很有效，但對于網(wǎng)絡(luò)協(xié)議和應(yīng)用程序攻擊則不太有效。另一方面，數(shù)據(jù)包分析對所有三個(gè)都有效。

您的 ISP 或云提供商提供的 DDoS 保護(hù)不太可能提供您需要的全面防御系統(tǒng)。他們有興趣保護(hù)自己的基礎(chǔ)設(shè)施。您有興趣保護(hù)您的應(yīng)用程序和網(wǎng)絡(luò)。因此，您不應(yīng)完全依賴它們來提供全面的 DDoS 保護(hù)。

DDoS 防護(hù)的四個(gè)要求

現(xiàn)代 DDoS 防御應(yīng)包括四個(gè)關(guān)鍵要求：

• 精確：企業(yè)實(shí)施精確的 DDoS 防御系統(tǒng)至關(guān)重要。與更生硬的防御系統(tǒng)（例如遠(yuǎn)程觸發(fā)黑洞過濾或 RTBH）不同，精確的保護(hù)解決方案可以查明威脅并相應(yīng)地減輕威脅。這有助于避免代價(jià)高昂的錯(cuò)誤，例如誤報(bào)或否定，這可能會阻止合法用戶或?qū)е挛疵械墓簟?/li>
• 可擴(kuò)展性：最大的DDoS 攻擊在 2018 年 3 月達(dá)到每秒 1.35 TB。鑒于當(dāng)今 DDoS 攻擊的規(guī)模龐大，DDoS 保護(hù)系統(tǒng)在深度、廣度和高度上的可擴(kuò)展性比以往任何時(shí)候都更加重要。根據(jù)數(shù)據(jù)包速率、攻擊機(jī)器人的數(shù)量和攻擊的比特率，不可擴(kuò)展的系統(tǒng)可能被證明是不夠的。
• 戰(zhàn)時(shí)響應(yīng)效率：自動(dòng)化 DDoS 防御系統(tǒng)可以消除對昂貴且耗時(shí)的手動(dòng)干預(yù)的需要。它應(yīng)該自動(dòng)檢測、緩解、報(bào)告 DDoS 攻擊并從中學(xué)習(xí)。在發(fā)生多向量攻擊（同時(shí)使用多種技術(shù)和方法）時(shí)尤其如此。
• 可負(fù)擔(dān)性：公司可以通過更小、更高效且更實(shí)惠的 DDoS 保護(hù)系統(tǒng)，在不犧牲性能的情況下保持低成本。這減少了所需設(shè)備的數(shù)量，降低了成本并減少了機(jī)架空間，從而節(jié)省了時(shí)間和金錢。

不幸的是，由于以下原因，遺留系統(tǒng)無法滿足這些要求：

• 缺乏精確性：流量檢測無法檢測復(fù)雜的網(wǎng)絡(luò)和應(yīng)用程序攻擊。
• 缺乏規(guī)模：需要成套設(shè)備才能創(chuàng)造有利可圖的清潔管道服務(wù)。
• 缺乏自動(dòng)化：需要經(jīng)過培訓(xùn)的專家來啟動(dòng)耗時(shí)的手動(dòng)干預(yù)。
• 負(fù)擔(dān)不起：傳統(tǒng)系統(tǒng)的擴(kuò)展成本太高。

DDoS 保護(hù)的現(xiàn)代方法

多向量 DDoS 攻擊的頻率呈指數(shù)增長。IDG 的 DDoS 策略研究表明，UDP 洪水攻擊占所有攻擊的 20%。按層分類：

• 29% 的攻擊發(fā)生在網(wǎng)絡(luò)層
• 25% 在應(yīng)用層
• 25% 在網(wǎng)絡(luò)層
• 21% 在基礎(chǔ)設(shè)施服務(wù)

黑客對單個(gè)目標(biāo)使用多種類型的攻擊。對于現(xiàn)代 DDoS 保護(hù)解決方案來說，滿足四個(gè)關(guān)鍵要求中的每一個(gè)都比以往任何時(shí)候都更加重要：精度、可擴(kuò)展性、戰(zhàn)時(shí)響應(yīng)效率和可負(fù)擔(dān)性。如果不全面，有效的 DDoS 保護(hù)策略將達(dá)不到要求。公司應(yīng)該優(yōu)先考慮多層混合解決方案，這些解決方案可以為任何類型的 DDoS 攻擊提供持續(xù)保護(hù)。

一種現(xiàn)代的、自上而下的 DDoS 保護(hù)方法使用多種工具并實(shí)現(xiàn)多個(gè)目標(biāo)：

• 分層、深入的檢測：使用具有分層數(shù)據(jù)包檢測的經(jīng)濟(jì)高效的反應(yīng)模式。
• 通過機(jī)器學(xué)習(xí)實(shí)現(xiàn)智能自動(dòng)化：無需人工干預(yù)。
• 使用單獨(dú)的策略擴(kuò)展到 100K 的受監(jiān)控實(shí)體：提供有利可圖的清潔管道服務(wù)。
• 克服組織孤島問題：允許組織利用公共資源和人才。

公司通常實(shí)施三種部署模式之一。

• 主動(dòng)：主動(dòng)部署模式始終監(jiān)視傳入流量并對其進(jìn)行檢測和緩解。因此，對于企業(yè)來說，這是一種將基于數(shù)據(jù)包的檢測和緩解設(shè)備置于網(wǎng)絡(luò)邊緣的極其有效的方式。
• 反應(yīng)式：反應(yīng)式部署模式使用基于流的數(shù)據(jù)來全面了解網(wǎng)絡(luò)流量。它的工作原理是將特定流量路由到緩解器，將其清理干凈，然后將其重定向回網(wǎng)絡(luò)。這種模式是 ISP 或云提供商最常提供的模式。
• 混合：混合部署模式使用按需云緩解功能來解決容量攻擊，以及旨在檢測和緩解三種主要類型的 DDoS 攻擊的在線和本地基于數(shù)據(jù)包的解決方案：容量、網(wǎng)絡(luò)協(xié)議和應(yīng)用。

為了從現(xiàn)代 DDoS 保護(hù)方法中獲益并充分防御多向量攻擊，通常建議組織采用混合部署模式。

DDoS 云清理

公司還需要尋找提供 DDoS 云清理的解決方案。這需要一種云服務(wù)，用于在攻擊期間從組織的數(shù)據(jù)中心轉(zhuǎn)移流量。然后，云清理服務(wù)將消除惡意流量，然后再通過 ISP 將合法流量發(fā)送回其正常路徑。

DDoS 威脅情報(bào)

威脅情報(bào)是 DDoS 防御策略的另一個(gè)重要方面。沒有它，公司將被迫使用猜測和盲目緩解來對抗攻擊。借助威脅情報(bào)，組織可以在攻擊其網(wǎng)絡(luò)之前識別任何類型的常見威脅。公司努力從不完整和過時(shí)的威脅情報(bào)數(shù)據(jù)中找到重要的見解。公司必須關(guān)注可操作的威脅情報(bào)數(shù)據(jù)的實(shí)時(shí)饋送，以主動(dòng)監(jiān)控對象（例如僵尸網(wǎng)絡(luò)、反射攻擊代理的 IP 地址等）。

正確的 DDoS 防御工具

公司不應(yīng)低估找到合適的 DDoS 防御工具來使用的重要性。組織必須首先了解哪些類型的攻擊最常見，哪些類型越來越流行。放大攻擊是目前最常見的，緊隨其后的是狀態(tài)洪水，通常由僵尸網(wǎng)絡(luò)發(fā)起。這包括物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，例如Mirai 攻擊中使用的僵尸網(wǎng)絡(luò)。總之，融合技術(shù)和流程的綜合 DDoS 解決方案將取得成功，這要?dú)w功于：

• 專用的本地設(shè)備，可以 24/7 全天候保持警惕。
• 可以對任何類型的攻擊做出響應(yīng)和反應(yīng)的專家事件團(tuán)隊(duì)。
• 云，它可以作為轉(zhuǎn)移流量的目的地。

DDoS 防御的六個(gè)步驟

在 DDoS 攻擊期間，有效的防御將包括：

• 本地設(shè)備會自動(dòng)檢測攻擊并激活緩解程序。
• 當(dāng)攻擊升級到某個(gè)級別而未成功緩解時(shí)，事件響應(yīng)團(tuán)隊(duì)會自動(dòng)收到警報(bào)。
• 事件響應(yīng)團(tuán)隊(duì)通過驗(yàn)證真正的攻擊正在發(fā)生（而不是誤報(bào)）、分析攻擊、提供緩解指導(dǎo)并在需要時(shí)推薦云擺動(dòng)來參與。
• 一個(gè)轉(zhuǎn)移信號連同有關(guān)攻擊的詳細(xì)信息被發(fā)送到云端。
• 云團(tuán)隊(duì)通常使用邊界網(wǎng)關(guān)協(xié)議 (BGP) 或域名系統(tǒng) (DNS) 來轉(zhuǎn)移流量以進(jìn)行清理。
• 攻擊結(jié)束后，流量通過 ISP 恢復(fù)到正常路徑。