DDoS攻击可以使企业完全宕机数小时以上,而宕机的后果可能很严重,各种规模的企业和政府都可能受到影响。2021年,由于系统中断一小时导致销售额大幅下降,亚马逊为此遭受了约3400万美元的直接财务损失。而随后由于Fakebook的服务中断,影响到了Meta的直接收入达到了近1亿美元。
因此几乎每个有在线业务的企业都需要衡量其在网站防护上面所需要的花费及其投资回报率,怎样用最合理的成本来进行最大化的攻击防护是每个企业需要考虑的很重要的问题。
火伞云为大家分享阻止DDoS攻击的15个独家技巧,希望可以帮助大家更有效的阻止DDoS攻击:
1.建立多层DDoS防护体系
当前的DDoS攻击模式已经与5-10年前有很大的不同。早期的DDoS攻击主要集中在第3层或第4层(协议和传输层)的容量攻击。如今DDoS攻击有许多不同的类型,每种类型都针对不同的层(网络层、传输层、会话层、应用层)或多层攻击组合。
此外,攻击者正在寻找使网站无法访问合法流量的新方法和利用漏洞的致命方法,从而策划高度复杂的攻击。在这种情况下,无法通过简单地增加网络带宽或使用传统防火墙来阻止DDoS攻击。您需要一个全面的、多模块的、多层次的DDoS防护方案来规避各种攻击,包括应用层DDoS攻击。
因此您的解决方案必须具有可扩展性,并具有内置冗余、流量监控功能、业务逻辑缺陷检测和漏洞管理功能。
2.避免成为肉鸡
攻击者使用的一种常见策略是DDoS僵尸网络,这是一个由远程控制的受感染设备组成的网络,可向目标发送大量流量。假设您的机器因DDoS攻击而关闭,可能系统会遭到破坏并被用作肉鸡。
为了避免成为肉鸡,必须做好对应的防范:
让您的设备和软件保持最新
使用强而独特的密码
小心可疑的电子邮件和附件
使用信誉良好的反恶意软件解决方案
使用信誉良好的VPN
- 识别攻击类型
通过了解每种攻击类型的特征并快速识别它们,DDoS 保护程序可以实时响应,在攻击造成重大损害之前有效地缓解攻击。识别攻击类型允许更有针对性和有效的防御机制,例如过滤特定流量或阻止恶意 IP 地址。此外及早识别攻击类型有助于预测和预防未来的攻击并改善整体安全态势,因此在攻击者发动攻击之前就识别攻击类型的能力是DDoS保护程序不可或缺的一部分。
一般来说企业可能会遇到三种常见的DDoS攻击类型:
a.应用层(L7)攻击或HTTP泛洪攻击
这种应用层攻击针对具有来自多个来源的请求的应用程序。此类攻击会生成大量POST、GET或HTTP请求,导致服务停机数小时至数周不等。由于成本低且易于操作,应用层攻击被广泛用于电子商务、银行和创业网站等。
b.UDP放大攻击
攻击者使用开放的NTP请求流量以阻塞目标服务器或网络。L3/L4(网络或传输)上的这种流量随着有效负载流量而增强,并且与请求大小相比是巨大的,因此会使服务不堪重负而宕机。
c.DNS泛洪攻击
DNS泛洪是针对将域名转换为IP地址的DNS(域名系统)服务器的DDoS攻击。这种攻击旨在通过大流量淹没DNS服务器,使合法用户无法访问目标网站或在线服务。
- 创建DDoS攻击威胁模型
DDoS攻击威胁模型是一种结构化方法,用于识别和分析DDoS攻击给您的在线服务或网站带来的潜在风险。
大多数互联网企业都在努力处理网络资源库存,以跟上不断增长的增长和客户需求。新的门户网站、支付网关、应用系统、营销领域和其他资源经常被不断创建和淘汰。
而您的网络资源是否管理有序井井有条?火伞云有以下建议:
确定您想要保护的资产——创建一个数据库,其中包含您想要防止DDoS攻击的所有Web资产,作为清单。它应该包含网络详细信息、正在使用的协议、域、应用程序的数量、它们的使用、最后更新的版本等。
定义潜在的攻击者——定义可能以您的资产为目标的潜在攻击者,例如网络黑客、竞争对手或民族国家行为者。
确定攻击向量——确定攻击者可以用来发起DDoS攻击的各种攻击向量,如UDP泛洪、SYN泛洪或HTTP 泛洪。
确定攻击面——确定资产的攻击面,包括网络拓扑、硬件基础设施和软件堆栈。
评估风险级别——通过评估攻击发生的概率、攻击的潜在影响以及检测和缓解攻击的可能性来评估每个攻击向量的风险级别。
- 设置网络资源优先级
所有的网络资源都是平等的还是您希望首先保护哪些资源?
从指定Web资源的优先级和重要性开始。例如以业务和数据为中心的Web资产应置于具有24h*7dd DDoS关键保护之下。
比如火伞云通常设置三个等级的网络资源:
关键:放置所有可能危及商业交易或您的声誉的资产,黑客通常有更高的动机首先针对这些资源。
高:此等级应包括可能妨碍日常业务运营的Web资产。
正常:此处包含其他所有内容。
废置:可以为不再使用的域、网络、应用程序和其他服务创建新的分类并尽快将其移出业务运营网络。
6.减少攻击面暴露
通过减少暴露给攻击者的面,可以最大限度地减少他们编排DDoS攻击的范围/选项。
因此,请保护您的关键资产、应用程序和其他资源、端口、协议、服务器和其他入口点,以免直接暴露给攻击者。
有许多策略可用于最小化攻击面暴露:
a.您可以在网络中分离和分配资产,使其更难成为目标。例如,您可以将Web服务器放在公共子网中,但底层数据库服务器应位于私有子网中。此外您可以限制从您的Web服务器访问数据库服务器,而不是其他主机。
b.对于可通过Internet访问的站点,您也可以通过限制访问用户所在国家/地区的流量来减少表面积。
c.利用负载均衡器保护Web服务器和计算资源免受暴露,方法是将它们置于其后。
d.通过删除任何不相关/不相关的服务、不必要的功能、遗留系统/流程等,保持应用程序/网站清洁,攻击者经常利用这些作为切入点。
7.强化网络架构
关键的DDoS保护最佳实践之一是使基础设施和网络能够处理任何雷鸣般的浪涌或流量突然激增。通常建议购买更多带宽作为一种选择。然而,因为巨大的成本导致这不是一个实用的解决方案。火伞云建议大家可以加入弹性的CDN服务来帮助您利用全球分散的网络并构建能够处理突发流量高峰的冗余资源。
- 了解警告标志
DDoS攻击包括一些很明显的网络症状。比如一些常见的DDoS攻击症状是Internet上的连接不稳定、网站间歇性关闭和Internet断开连接。如果这些问题比较严重和持续时间较长,则您的网络很可能受到DDoS攻击,您必须采取适当的DDoS攻击防范措施。
以下是您可能受到分布式拒绝服务 (DDoS) 攻击的一些警告信号:
异常高的流量
缓慢或无响应的网站
网络连接问题
不寻常的交通模式
意外的服务器错误
资源使用异常激增
9.黑洞路由
黑洞路由是一种用于通过在恶意流量到达目标网络或服务器之前丢弃恶意流量来防止分布式拒绝服务(DDoS)攻击的技术。这涉及到将路由器或交换机配置为将流量发送到一个空接口,即“黑洞”,从而有效地减少流量。黑洞路由通常用于阻止来自被识别为攻击源的特定IP地址或子网的流量。
虽然黑洞路由是一种被动措施,但它可以有效地减轻DDoS攻击的影响。但需要注意的是,黑洞路由应与其他主动步骤一起使用,以防止DDoS攻击。
10.速率限制
速率限制是一种用于通过限制发送到网络或服务器的流量来防止分布式拒绝服务(DDoS)攻击的技术。这涉及到限制在指定的时间范围内可以进行的请求或连接的数量。
当达到限制时,多余的流量会被丢弃或延迟。速率限制可以在各种级别上实现,例如在网络、应用程序或DNS层上。通过限制可以发送到网络或服务器的流量,速率限制有助于防止可能导致DDoS攻击的资源过载。但是谨慎配置速率限制以避免阻塞合法流量是很重要的。
基于地理的访问限制、基于信誉评分的访问限制等基于实时见解的措施在预防DDoS攻击方面发挥了很大作用。
11.日志监测与分析
您可能想知道如何通过日志监控来阻止DDoS攻击。快速检测威胁是DDoS保护的最佳做法之一,因为它们提供了有关您的网络流量的数据和统计数据。日志文件包含具有充足信息的数据,可有效地实时检测威胁。使用日志分析工具检测DDoS威胁还有其他好处,如使DDoS补救过程快速而简单。在列出您的网站时,流量统计数据会显示流量激增的日期和时间,以及哪些服务器受到了攻击的影响。
日志分析可以通过预先通知不需要的事件的状态来减少故障排除时间,从而为您节省时间。一些智能日志管理工具还提供了快速补救和减轻成功DDoS攻击造成的损害所需的信息。
12.制定DDoS抵御计划
抵御DDoS攻击并不会限制预防和缓解,由于DDoS攻击旨在关闭您的完整操作,因此大多数DDoS保护技术都与打击攻击有关。
将灾难恢复规划实践作为定期运营维护的一部分,该计划应侧重于技术能力和全面的计划,该计划概述了如何在成功的DDoS攻击的压力下确保业务连续性。灾难恢复站点必须是恢复计划的一部分。作为临时站点的DR站点应具有您的数据的当前备份。恢复计划还应包括关键细节,如恢复方法、关键数据备份的维护位置以及谁负责哪些任务。
13.获取DDoS防护工具
如今市场上充斥着帮助您检测和保护关键网络资源免受DDoS攻击的工具。这些工具属于不同的类别——检测和缓解。
攻击检测
无论攻击的层次如何,缓解措施都取决于你在虚假流量激增造成严重破坏之前检测到它们的能力。大多数DDoS保护工具都依赖于签名和源详细信息来警告您。它们依赖于达到临界质量的流量,这会影响服务的可用性。然而,仅检测是不够的,需要手动干预来查看数据并应用保护规则。
自动缓解
DDoS保护是否可以自动化?许多防DDoS解决方案基于预先配置的规则和策略来引导或阻止虚假流量。
虽然在应用程序或网络层上自动过滤不良流量是可取的,但攻击者已经找到了击败这些策略的新方法,尤其是在应用程序层。
14.降低对传统防火墙的依赖
尽管传统防火墙具有内置的抗DDoS功能,但它们只有一种DDoS阻止方法——不分青红皂白的阈值做法,即在达到最大阈值限制时阻止特定端口,所以传统防火墙在DDoS保护中经常失败。
15.部署Web应用程序防火墙
Web应用程序防火墙(WAF)是抵御所有DDoS攻击的绝佳防御措施。它阻止恶意流量试图阻止应用程序中的漏洞。火伞云WAF通过安全专家的全天候监控支持DDoS保护解决方案,以识别虚假流量激增并在不影响合法流量的情况下阻止它们。
您可以在互联网和原始服务器之间放置WAF。WAF可以充当反向代理,通过让客户端在到达服务器之前通过它们来保护服务器不被暴露。
应用程序DDoS检测最具挑战性,因为可以精心编制有效负载,使每个请求看起来完全合法,但通过发送许多合法请求来轰炸应用程序及其CPU周期。例如,填写表单,发布它,并强制后端应用程序在许多并发请求上花费CPU周期。为了应对这一点,将正常人工事务与自动事务区分开来的定制策略可以在对抗应用程序级DDoS攻击方面发挥很大作用。