选择 DDoS 缓解解决方案的第一步是评估您的风险。重要的基本问题包括:
- 哪些基础设施资产需要保护?
- 什么是软点或单点故障?
- 拿下他们需要什么?
- 您如何以及何时知道自己是目标?会不会太晚了?
- 延长停电的影响(财务和其他方面)是什么?
有了这些信息,就可以优先考虑您的问题,在您的安全预算框架内检查各种DDoS 缓解选项。
如果您正在运行商业网站或在线应用程序(例如,SaaS 应用程序、网上银行、电子商务),您可能需要 24×7、始终在线的保护。另一方面,大型律师事务所可能对保护其基础设施(包括电子邮件服务器、FTP 服务器和后台平台)比其网站更感兴趣。此类业务可能会选择“按需”解决方案。
第二步是选择部署方法。为整个子网中的核心基础设施服务部署按需DDoS 保护的最常见和最有效的方法是通过边界网关协议 ( BGP ) 路由。但是,这只能按需运行,需要您手动激活安全解决方案以防万一。
因此,如果您的 Web 应用程序需要始终在线的 DDoS 保护,您应该使用 DNS 重定向通过 DDoS 保护提供商的网络(通常与内容交付网络集成)重新路由所有网站流量 (HTTP/HTTPS), . 该解决方案的优势在于,大多数 CDN 提供了随叫随到的可扩展性以吸收容量攻击,同时最大限度地减少延迟并加速内容交付。
减轻网络层攻击
处理所需的网络层攻击需要额外的可扩展性——超出您自己的网络所能提供的。
因此,在发生攻击时,会发出 BGP 公告以确保所有传入流量都通过一组清理中心进行路由。其中每一个都具有处理数百 Gbps 流量的能力。位于清理中心的强大服务器将过滤掉恶意数据包,只通过 GRE 隧道将干净的流量转发到源服务器。
这种缓解方法提供了针对直接 IP 攻击的保护,并且通常与所有类型的基础设施和通信协议(例如,UDP、SMTP、FTP、VoIP)兼容。
防御 NTP 放大攻击:180Gbps 和每秒 5000 万个数据包
减轻应用层攻击
应用层攻击的缓解依赖于可以按需扩展的流量分析解决方案,同时还能够区分恶意机器人和合法网站访问者。
对于流量分析,最佳实践要求基于签名和基于行为的启发式方法,结合 IP 信誉评分和安全挑战(例如,JS 和 cookie 挑战)的渐进式使用。
缓解长达八天的 HTTP 洪水:来自 180,000 个僵尸网络 IP 的 6.9 亿次 DDoS 请求
总之,这些可以准确地过滤掉恶意机器人流量,防止应用层攻击,而不会对您的合法访问者造成任何影响
404
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
