DDoS攻擊是一種常見攻擊�,可確實是個困擾運維人員最為惱火的問題���,可導致網站宕機����、服務器崩潰�����、內容被篡改甚至品牌/財產嚴重受損���。其實防御DDoS攻擊除了運維人員日常的一些防范意識及操作外���,IDC服務商提供的付費增值服務是最好的選擇�����,畢竟花錢的服務嘛���,當然是有效果才會有人買單了。
在線安全提供商同樣加深了他們的攻擊防御技術開發(fā)�����,提出了阻止攻擊者的新技術����。但是,并非所有 DDoS 保護都是相同的�。DDoS 保護服務在質量和保護方面差異很大。為確保您免受最新和最有效的 DDoS 攻擊�,您需要確保您的安全提供商提供正確的工具和技術來應對最新的威脅。以下是現(xiàn)代 DDoS 保護所需的九項必備功能:
一���、應用層 DDoS 保護
應用層(L7)DDoS 攻擊已經超過網絡層(L3 / 4)攻擊���,成為最廣泛的攻擊媒介。根據 知名的網絡安全和應用交付解決方案提供商 Radware 公司的 2017-2018 ERT 報告�,64%的企業(yè)和組織面臨應用層攻擊,而只有 51%的企業(yè)和組織面臨網絡層攻擊�����。
事實上���,根據 ERT 報告�,HTTP 洪水是所有攻擊類型(網絡層和應用層)的第一攻擊媒介���。此外�����,SSL�,DNS 和 SMTP 攻擊是其他常見類型的應用層攻擊�����。許多在線安全服務通過其 WAF 承諾提供 L7 DDoS 保護。但是��,這通常需要在 DDoS 保護機制之上支付昂貴的附加 WAF 服務���。
這些趨勢意味著�����,現(xiàn)代 DDoS 保護��,僅僅針對網絡層 DDoS 攻擊進行保護已不再足夠��,F(xiàn)代 DDoS 保護必須包括針對應用層(L7)攻擊的內置防御����,以便企業(yè)級在線業(yè)務得到充分保護�。例如,天下數(shù)據香港高防服務器���,全面支持網絡層�、應用層 DDoS 攻擊防護�����。
二、SSL DDoS 防洪
加密流量現(xiàn)在占據了大部分互聯(lián)網流量���。根據 Mozilla 的 Let's Encrypt 項目���,全球超過 70%的網站都是通過 HTTPS 提供的,其中一些市場如美國和德國實現(xiàn)了更高的價格����。這些發(fā)現(xiàn)反映在 Radware 的最新 ERT 報告中�����,96%的企業(yè)現(xiàn)在在某種程度上使用 SSL���,60%的企業(yè)證明其大部分流量都是加密的�����。
然而���,這種上升也帶來了重大的安全挑戰(zhàn):加密請求可能需要比常規(guī)請求多 15 倍的服務器資源。這意味著即使只有少量流量����,嫻熟的攻擊者也可以通過大量消耗服務器資源來削弱你的網站可用性�����。
隨著越來越多的流量被加密�����,SSL DDoS 洪水正成為黑客越來越受歡迎的攻擊媒介����。根據 Radware 最新的 ERT 報告��,30%的企業(yè)報告稱在過去 12 個月中遭受了基于 SSL 的攻擊�����。
由于基于 SSL 的 DDoS 攻擊的效力����,對于希望得到充分保護的組織來說,對 SSL DDoS 洪水的高級保護是必不可少的�。天下數(shù)據香港高防服務器、高防 IP 服務��,基于先進的智能攻擊檢測處理系統(tǒng)。該系統(tǒng)可以作為代理處理客戶端發(fā)起的 TCP 和 SSL/TLS 握手�,通過豐富的 HTTP 協(xié)議驗證算法單次驗證客戶端的合法性。將有 HTTPS 業(yè)務交互����,并通過 HTTP 算法交互驗證的客戶端識別為合法用戶,其后續(xù)報文直接放行�。這樣的解決方案不僅消除了管理解密密鑰所帶來的操作復雜性,而且可以大規(guī)模防止基于 SSL 的 HTTP DDoS 攻擊��,而不會增加延遲或損害用戶隱私����。
三��、零日保護
攻擊者不斷尋找繞過傳統(tǒng)安全機制的新方法�����,并使用前所未有的攻擊方法攻擊企業(yè)�。即使通過對攻擊簽名進行小的更改,黑客也可以制作手動簽名無法識別的攻擊�。此類攻擊通常被稱為 “零日攻擊”。
例如����,一種常見的零日攻擊類型是突發(fā) DDoS 攻擊�,它在切換到不同的攻擊向量之前使用短突發(fā)的高容量攻擊��。這些攻擊通常結合了許多不同的攻擊媒介����,使依賴傳統(tǒng)的、手動調整的安全解決方案的企業(yè)無計可施�。
另一種零日攻擊是放大攻擊。放大攻擊通常采用通信協(xié)議�,其中請求和響應分組大小之間存在大的不對稱性。此類攻擊會從沒有參與攻擊的第三方服務器上反彈流量��,從而放大流量并壓倒目標�。
根據 Radware 的 2017-2018 ERT 報告,42%的企業(yè)遭受了突發(fā)攻擊����,40%的企業(yè)報告出現(xiàn)了 DDoS 放大攻擊。這些趨勢表明��,現(xiàn)代 DDoS 保護機制需要零日保護功能���。
四���、行為保護
隨著 DDoS 攻擊變得越來越復雜���,區(qū)分合法和惡意流量變得越來越困難。對于模仿合法用戶行為的應用層(L7)DDoS 攻擊尤其如此��。
許多安全供應商的一種常見機制是基于流量閾值檢測攻擊���,并使用速率限制來限制流量峰值�����。但是�����,這是阻止攻擊的一種非常粗暴的方式,因為它不區(qū)分合法和惡意流量�。在活動激增期間(例如購物假期),當流量顯著增加時��,這尤其成為一個問題����。諸如速率限制之類的不成熟的保護機制不會區(qū)分合法和攻擊流量�,并最終阻止有效用戶��。
然而��,一種更有效的檢測和阻止攻擊的方法是使用行為技術來了解構成正常用戶行為的內容�,并阻止所有不符合此行為的流量。這不僅提供了更高級別的保護��,而且還可以減少誤報��,并且在流量高峰時不會阻止合法用戶����。因此,使用基于行為檢測(和緩解)的 DDoS 保護是有效 DDoS 保護的必備條件�。
五、詳細的 SLA
您的服務水平協(xié)議(SLA)是您的安全提供商承諾為您提供的合同保證����。可以毫不夸張地說���,您的安全性與 SLA 一樣好����。
許多安全供應商對其功能做出了廣泛的營銷聲明,但一旦涉及對這些聲明做出實際承諾��,他們的主張就會變得空洞����。
為了確保宣傳冊中所說的內容也是您所獲得的 - 您需要告訴您的安全供應商將資金放在嘴邊,并提供詳細的 SLA����,以及對檢測,緩解和可用性指標的具體承諾����。SLA 應涵蓋整個 DDoS 攻擊生命周期,以確保您完全覆蓋每個方案�。
六、自主防御方法及步驟
a.定期掃描漏洞����,時打上補丁
要確保服務器軟件沒有任何漏洞�����,防止攻擊者入侵��。確保服務器采用最新系統(tǒng),并打上安全補丁���。
b.過濾不必要的服務和端口
過濾不必要的服務和端口����,即過濾路由器上的假IP…只打開服務端口已經成為許多服務器的一種流行做法��,例如WWW服務器��,它只打開80個端口���,關閉所有其他端口或在防火墻上阻止它們����。
C.檢查訪客來源
使用單播反向路徑轉發(fā)等方法�����,通過反向路由器查詢����,檢查訪客IP地址是否為真,如果為假,則屏蔽�。許多黑客經常使用假IP地址來迷惑用戶,很難找到它的來源�����。因此���,使用單播反向路徑轉發(fā)可以減少假IP地址的發(fā)生����,有助于提高網絡安全性�。
采用高防服務器,保證服務器系統(tǒng)的安全
DDOS高防服務器主要是指獨立單個硬防防御應對DDOS攻擊和CC攻擊100G以上的服務器�����,可以為單個客戶提供安全維護����,根據各個IDC機房的環(huán)境不同,有的提供有硬防��,有使用軟防�����。簡單來說��,就是能夠幫助網站拒絕服務攻擊�����,并且定時掃描現(xiàn)有的網絡主節(jié)點�,查找可能存在的安全漏洞的服務器。
七���、采用高防IP���,隱藏服務器的真實IP地址
高防IP是針對互聯(lián)網服務器在遭受大流量DDoS攻擊后導致服務不可用的情況下的一款增值服務。其防御原理是用戶可通過配置高防IP��,將攻擊流量引流到高防IP��,從而保護真正的IP不被暴露�,確保源站的穩(wěn)定可靠,保障用戶的訪問質量和對內容提供商的黏度��。
八�、采用高防CDN,通過內容分離數(shù)據流量進行防御
CDN防御力的全名是ContentDeliveryNetworkDefense,即內容分離數(shù)據流量防御力����。高防CDN的基本原理就是說搭建在互聯(lián)網之中的內容派發(fā)互聯(lián)網,借助布署在全國各地的邊沿網絡服務器��,根據管理中心服務平臺的負載均衡�����、內容派發(fā)�����、生產調度等程序模塊���,使客戶就近原則獲得需要內容���,而無需立即瀏覽網站源網絡服務器。其基本原理簡易的說就是說搭建好幾個高防服務器CDN連接點�,當有CDN連接點攻擊的那時候每個連接點相互承擔。不容易由于一個連接點被攻擊砍死而造成網站無法打開�,同時采用CDN還可以保護網站源IP。這兒有一個關鍵環(huán)節(jié)�,一旦連接了高防CDN(免費的CDN一般能防止5G左右的DDOS))���,千萬別泄漏源網絡服務器的網絡ip,不然攻擊者能夠避過CDN立即攻擊源網絡服務器�����。
九��、配置Web應用程序防火墻(WAF)
Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略的一款產品WAF(Web應用防火墻)基于云安全大數(shù)據能力�����,用于防御SQL注入�、XSS跨站腳本��、常見Web服務器插件漏洞��、木馬上傳���、非授權核心資源訪問等OWASP常見攻擊��,并過濾海量惡意CC攻擊����,避免您的網站資產數(shù)據泄露,保障網站業(yè)務的安全與可用性�����。
如果您的安全提供商未能提供此類承諾���,則會對您的供應商提供針對 DDoS 攻擊提供高質量保護的能力產生懷疑����。這就是粒度 SLA 是現(xiàn)代 DDoS 保護的必備條件���。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
