DDoS 保护、缓解和防御：8 个基本技巧（3～4）

3. 使用 DDoS 保护和缓解服务

CynergisTek 网络安全战略副总裁 John Nye 解释说，企业可以自己做很多事情来准备在这些攻击发生时进行调整，但使用第三方 DDoS 保护服务可能是最实惠的途径。“监控可以在企业内部完成，通常在 SOC 或 NOC 中进行，以观察过多的流量，如果它与合法流量有足够的区别，则可以在 Web 应用程序防火墙 (WAF) 或其他技术解决方案中阻止它。虽然可以构建更强大的基础设施来处理更大的流量负载，但这种解决方案比使用第三方服务的成本要高得多，”Nye 说。

Cyxtera's Day 同意 Nye 的观点，即企业应该考虑获得专业帮助。“企业应该与 DDoS 缓解公司和/或其网络服务提供商合作，以具备缓解能力或至少准备好在发生攻击时快速部署。”

Nye 补充道：“如果企业的 Web 存在对其业务至关重要，那么企业可以做的最有用的第一件事就是使用第三方 DDoS 保护服务。在这种情况下，我不会推荐任何特定的供应商，因为最好的选择是视情况而定，如果企业正在考虑使用这样的服务，他们应该彻底调查这些选项。”

今年，供应商提供的保护水平显着提高——今年创纪录的攻击可用的保护就是例证。缓解供应商也越来越多地相互合作，与互联网服务提供商和执法部门合作，在问题到达目标受害者或沿途堵塞互联网管道之前很久就解决上游的问题。

一家 DDoS 缓解提供商 Cloudflare 已将其存在点——他们在上游、ISP 和其他关键位置安装的设备——从去年此时的 118 个扩展到今天的 156 个。该公司总法律顾问 Doug Kramer 表示，同期，该公司保护的网站数量从 700 万个增加到 1200 万个。

Cloudflare 最近因拒绝取消对一些新纳粹网站的保护而成为新闻，但它对将 DDoS 攻击者踢出其网络并没有这种疑虑。“我们与许多其他团队合作，例如 AWS、Akamai、Google 和 Palo Alto Networks 的人员，”Kramer 说。“尽管我们可能是商业领域的竞争对手，但我们共同努力追踪这些东西并将其关闭。”

然而，由于网站宣传危险内容，这是一个审查问题，他说。“我们的方法是避免成为审查员，所以我们将遵循法庭程序。如果我们得到法庭裁决，我们将停止服务或法庭要求的任何事情。但如果我们发现具有网络攻击性质的活动，我们会采取一种不同的方法。如果我们网络上有人发起 DDoS 攻击，我们将尽快采取行动禁用服务。”

4. 不要只依赖外围防御

将修复系统尽可能地推向上游是成功应对 DDoS 攻击的主要因素。几年前，在报道金融服务公司遭受的 DDoS 攻击时，我们采访的每个人都发现，他们传统的本地安全设备——防火墙、入侵防御系统、负载平衡器——无法阻止这些攻击。

“我们看到这些设备出现故障。那里的教训非常简单：你必须有能力在 DDoS 攻击到达这些设备之前缓解它。它们很容易受到攻击。它们和你试图攻击的服务器一样容易受到攻击保护，”Sockrider 在谈到几年前对银行和金融服务的攻击时说。部分缓解工作将不得不依赖上游网络提供商或托管安全服务提供商，这些提供商可以在远离网络边界的地方中断攻击。

当您面临大量攻击时，减轻上游的攻击尤为重要。“如果你的互联网连接是 10GB 并且你收到了 100GB 的攻击，那么试图在 10GB 大关上与之抗争是没有希望的。你已经被上游屠杀了，”Sockrider 说。

今年两起创纪录的袭击事件确实强调了这一点。Rapid7 的首席数据科学家 Bob Rudis 说，在那里，攻击者向易受攻击的 memcached 服务器发送欺骗请求，这些服务器用于加速网站和网络。“Memcached 之于拒绝服务攻击，就像氢弹之于传统战争一样，”他说。

他说，这些攻击并没有停止。根据最新的Rapid7 威胁报告，memcached 的每日连接数在 3 月份飙升至 10,000 左右，然后在 6 月份飙升至 50,000 以上，并在 9 月份飙升至 200,000 以上。“Memcached 攻击者还活着，并且继续为新系统盘点——互联网上仍然有很多新系统，”他说。