正如视频会议软件、远程医疗服务和政府网站的流量高峰所表明的那样,组织需要一种区分恶意流量和合法流量高峰的方法。
然而,问题在于,仅查看原始流量率并不能告诉我们该流量是合法的还是恶意的。例如,下面的屏幕截图将 flash crows 与 TCP RST Flood进行了比较。
仅使用速率分析,两个请求看起来都一样。然而,对数据包行为的更详细的行为分析表明,恶意流量与已建立的合法用户行为基线存在显着偏差。
这就是为什么反 DDoS 防御不仅要利用基于体积的检测,还要利用基于行为的检测方法至关重要的原因。在大规模的闪电人群中,这是真正区分攻击者和有需要的患者的唯一方法。
实时签名
阿尔伯特·爱因斯坦说:“一切都应该尽可能简单,但不能简单。” 将其解释为 DDoS 保护的世界,这意味着攻击签名应该针对传入攻击流量的确切特征进行定制,但不能或多或少地涵盖。
签名应用太窄,意味着攻击流量不会被拦截;应用过于广泛的签名,合法的用户流量也会被阻止。
传统的 DDoS 防御通常基于传入流量的速率限制,从而将整体流量降低到服务可以承受的水平。然而,问题在于速率限制是一种蛮力机制,它任意“限制”流量,但不区分合法流量和恶意流量。这会导致高度误报,导致合法用户被阻止,而一些恶意流量仍然可以通过。
更好的方法是使用实时签名创建算法,该算法针对攻击模式的确切特征进行了微调和优化,这意味着恶意流量——并且只有恶意流量——将被阻止,而合法用户、患者和客户不会被中断.
加密攻击防护
随着越来越多的 Web 流量被加密,针对加密洪流的保护是现代 DDoS 保护的一项关键要求。根据 Google 的 HTTPS 透明度报告,现在几乎所有主要市场中超过 90% 的网页都使用 HTTPS 加密。
这在冠状病毒危机期间尤其适用,当时许多人都在远程工作并通过安全连接共享机密的财务细节、工作材料或患者数据。
具有讽刺意味的是,虽然 HTTPS 对于数据保护至关重要,但它也为新型破坏性 DDoS 攻击打开了大门。HTTPS 是一种高度不对称的协议,SSL 握手过程从目标服务器获取的资源可能比从发出请求的主机获取的资源多15 倍。因此,黑客可以使用 HTTPS 泛洪攻击以相对较少的请求数进行破坏性攻击。
这就是为什么防御加密的 DDoS 洪水是现代 DDoS 保护的关键要求。
庞大的全球产能
保护关键服务可用性的另一个关键要求是大规模、专用的 DDoS 缓解能力。
物联网僵尸网络不断变得更大、更复杂,并且能够发起比以往更大的攻击。例如,以色列本古里安大学 (BGU) 的研究人员最近进行的一项研究表明,一个只有 6,000 个节点的中型僵尸网络如何破坏美国普通州的紧急 911 系统,以及 200,000 个僵尸网络如何危害整个美国。
自然,在 COVID-19 危机等大规模突发公共卫生事件期间,此类漏洞至关重要。
解决方案是依靠全球分布式 DDoS 清理网络,该网络具有多 TB 的专用DDoS 缓解能力,以确保您始终拥有足够的后备能力。
托管安全服务
最后,现代 DDoS 保护的最后一个关键要求是完全托管的安全服务。员工短缺和网络安全技能差距是日常的关键问题,但在危机时期,当 IT 团队过度扩张,许多员工在家工作,有些人甚至可能受到封锁的影响时,这些挑战会更加严重,隔离,或住院。
使用完全托管的安全服务进行 DDoS 保护,依靠以网络和应用程序安全为专长的专家团队,有助于减轻您的负担。这使 IT 团队能够腾出带宽来专注于他们的核心任务,并将安全管理留给专家。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
