DDoS攻擊是最常見的服務(wù)器攻擊之一。易發(fā)動、難防御、危害大、追查難,是DDoS較為突出的特點,也是眾多站長對其恐懼的最大理由。然而,在防護(hù)DDoS攻擊當(dāng)中,會有一些常見的錯誤觀念。
錯誤觀點1:防火墻可以防御任何DDoS攻擊
所謂“防火墻”是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法,它實際上是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)、隔離技術(shù)。對于當(dāng)今日益復(fù)雜的DDoS攻擊還不能完全起效。而且,它們甚至可以成為惡意流量的入口點或攻擊的實際目標(biāo)。存儲和防火墻處理所有信息所需的計算能力非常有限,因此也讓它們成為黑客的輕松攻擊目標(biāo)。
錯誤觀點2:CDN可以提供DDoS攻擊保護(hù)
一般情況下,CDN是無法區(qū)分正常流量和攻擊流量的。CDN的首要目的并不是提供安全性,而是緩解網(wǎng)絡(luò)擁堵問題,能夠在一定程度上緩解一些攻擊,但絕不是所有攻擊。如果要利用CDN來防護(hù)DDoS攻擊,除非你的CDN服務(wù)中包含DDoS攻擊清洗工具。無論如何,CDN本身不可能提供針對當(dāng)前DDoS攻擊的全面保護(hù)。
錯誤觀點3:基于閾值的警報服務(wù)足以用于DDoS保護(hù)
事實上,流量峰值警報無法阻止DDoS攻擊,因為它只是報告你危機(jī)正在發(fā)生。當(dāng)警報服務(wù)注意到DDoS流量高峰并且您開始處理后果時,可能已經(jīng)過去了20到30分鐘。在此期間,您的網(wǎng)站或應(yīng)用程序?qū)㈥P(guān)閉,并需要由專家進(jìn)行恢復(fù)。此時黑客還有可能竊取您的數(shù)據(jù)或進(jìn)行更多其他潛藏的惡意活動。
錯誤觀點4:“黑名單”是限制資源訪問的理想工具
僅僅依靠黑名單和白名單來限制資源訪問是不現(xiàn)實的。因為列表是靜態(tài)的,因此通常它們在配置之后就會過時。當(dāng)然,它們在一定程度上能夠減少虛假流量,但是當(dāng)攻擊者有意發(fā)動攻擊,其效果是。因為虛假流量一般不會來自你認(rèn)為可疑的來源,因此也不一定會存在你的黑名單中。
錯誤觀點5:DDoS攻擊的主要目標(biāo)是打垮整個企業(yè)
其實只有極少的DDoS可以打垮一個企業(yè),大多數(shù)的DDoS攻擊只能選擇在特定時間使特定的網(wǎng)站中斷服務(wù),規(guī)模和持續(xù)時間是有限的。因此絕大多數(shù)DDoS攻擊是低門限的短期攻擊,通常用于打擊競爭對手的促銷活動、勒索或作為更嚴(yán)重潛藏活動的掩護(hù),例如身份盜竊、從賬戶中竊取資金等。
對于DDoS攻擊的最好防護(hù),效果最好的大概是高防服務(wù)器了。高防服務(wù)器一般是針對DDoS、CC等流量攻擊,對于流量型攻擊具有很好的防御能力。