分布式拒绝服务(DDoS) 攻击已成为过去二十年网络威胁格局的一个重要特征。在2021和DDoS攻击威胁形势报告显示,今天的袭击不断的复杂性,体积,大小和频率不断变化。DDoS 攻击中唯一不变的是攻击者持续关注目标组织的关键基础设施。每月 DDoS 攻击的数量在增加——攻击增加了四倍,自 2020 年以来,攻击的数量和数据包也分别增长了两倍和三倍。
使用传输控制协议(TCP) 的组织比以往任何时候都多,攻击者很清楚,防御不足或没有防御的站点很容易成为攻击目标。不使用永远在线防御的组织很容易受到短期攻击,因为攻击者有机会在缓解措施开始之前制造最大的破坏。当攻击者采用这种“冲洗和重复”方法时,组织将更难缓解和管理攻击。
在这篇文章中,我们将解释 DDoS 攻击缓解过程,并提供您的解决方案提供商今天必须提供的十项能力,以管理DDoS 攻击的规模和复杂性。
“ DDoS 缓解”是指成功保护目标免受分布式拒绝服务 (DDoS) 攻击的过程。典型的缓解过程可以大致分为四个阶段:
检测——早期识别交通流量异常,这可能是“煤矿中的金丝雀”,预示着 DDoS 攻击的积累。组织可以通过他们识别攻击的一致性和时间来衡量他们的检测有效性。此阶段的最终目标是立即识别攻击。
转移——当检测到攻击时,组织通过DNS(域名系统)或BGP重新路由远离目标的站点流量(边界网关协议)路由。然后,决定是过滤流量还是完全丢弃流量。DNS 路由是永远在线的,因此可以快速响应攻击,并且对应用层和网络层攻击都有效。BGP 路由要么是永远在线的,要么是按需的。
过滤 —通常通过识别可立即区分合法流量(即人类、API 调用和搜索引擎机器人)和恶意访问者的模式来清除 DDoS 流量。响应能力是您能够在不干扰用户体验的情况下阻止攻击的功能。目的是让您的解决方案对网站访问者完全透明。
分析— 系统日志和分析可以帮助组织收集有关攻击的信息,以识别攻击者并提高未来的弹性。日志记录是一种传统方法,它可以提供洞察力,但不能实时提供。日志记录通常需要详细的手动分析。高级安全分析技术通常是自动化的,可以提供对攻击流量的精细可见性和对攻击细节的即时了解。
DDoS 解决方案所需的 10 项能力
既然我们已经确定了要做什么,那么在选择缓解提供商来做这件事时必须考虑哪些因素?
网络容量——这是对 DDoS 缓解服务进行基准测试的基本方法。它反映了您在攻击期间可用的整体可扩展性。例如,1 Tbps(每秒太比特)的网络理论上可以阻止相同数量的攻击流量,减去维持其正常运行所需的带宽。小心使用本地 DDoS 缓解设备,因为它们在默认情况下受到限制 - 包括组织网络管道的大小和内部硬件容量。
处理能力——此功能由转发速率表示,以 Mpps(每秒数百万个数据包)为单位。Imperva 最近挫败了记录为 155 Mpps 的攻击,某些攻击可以将转发速率编组高达 300 Mpps。超过缓解提供商处理能力的攻击将推翻其防御,这就是为什么您应该预先询问此类限制的原因。
延迟— 在某些时候,您网站或应用程序的合法流量将通过 DDoS 提供商的网络:如果 DDoS 服务是按需提供的,则在发生攻击时流量会切换到 DDoS 提供商。如果 DDoS 服务始终开启(这具有显着优势),您的所有流量都将通过提供商的服务器。您的数据中心和 DDoS 提供商之间的连接必须非常高效,否则可能会给您的用户带来高延迟。
缓解时间——大多数攻击可以在几分钟内摧毁一个目标,恢复过程可能需要几个小时。Imperva 研究显示出攻击时间更短、攻击量更大的趋势。使用永远在线的解决方案进行抢先检测在这里提供了优势。近乎即时的缓解可以保护组织免受任何攻击期间的第一波攻击。寻找可以在几秒钟内响应攻击的解决方案,并确保在服务试用期间对其进行测试。
网络级别的缓解- 网络层 DDoS 攻击是大规模的 - 它们依赖于非常大规模的流量,这可能会对您的基础设施造成更大的破坏。DDoS 缓解提供商必须将合法流量与恶意流量分开并清除恶意数据包,同时允许合法数据包到达目的地。
应用层缓解——应用层(OSI 第 7 层)DDoS 攻击比其网络层对应物更隐蔽,通常模仿合法用户流量以逃避安全措施。为了阻止它们,您的解决方案应该能够分析传入的 HTTP/S 流量,区分 DDoS 机器人和合法访问者。
保护二级资产——在 DDoS 攻击场景中,网络基础设施(如 Web 服务器、DNS 服务器、电子邮件服务器、FTP 服务器以及后台 CRM 或 ERP 平台)可能成为犯罪者的目标。评估您的整个网络基础设施风险并确定需要保护的组件的优先级。您的 DNS 服务是最常见的攻击目标之一,也是您的单点故障,因此请确保您的解决方案可以保护它。
保护单个 IP — 从历史上看,基于云的 DDoS 保护服务只能保护整个 IP 范围,而不能保护单个 IP 地址。今天,高级 DDoS 服务可以保护单个 IP,允许您注册公共 IP 或域名,将 DDoS 服务添加到您的 DNS 配置,并立即保护该特定 IP。
支持——即使您的 DDoS 服务是完全自动化的(这是首选,因为它允许对攻击做出快速响应),请确保您的提供商提供专业的支持服务。当发生攻击时,您可能需要与您的提供商交谈以了解正在发生的事情并解决影响您的合法流量的关键问题。确保您的 DDoS 缓解服务运营着一个安全运营中心 (SOC),安全专家可 24x7x365 全天候待命以提供紧急援助。
选择专家——专注于安全的供应商提供更先进的解决方案——专家致力于持续的安全研究和对新攻击媒介的全天候监控。ISP 和托管服务提供商等通才提供基本的缓解解决方案作为其核心服务的“附加组件”,目的是向现有客户追加销售。通才提供的缓解服务可能足以应对小型、简单的攻击。但是,如果您的在线应用程序对日常业务运营至关重要,那么专业的 DDoS 保护提供商是您组织的最佳和最低风险选择。
扫一扫
2880
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
