DDoS攻击利用了Internet的开放性及其将数据包从几乎任何来源传送到任何目的地的优势。使DDoS攻击成为如此挑战的原因是非法数据包与合法数据包几乎无法区分。典型的DDoS攻击类型包括带宽攻击和应用程序攻击。在带宽攻击中,网络资源或设备被大量数据包消耗。通过应用程序攻击,TCP 或 HTTP 资源无法处理事务或请求。那么DDoS如何防御?
针对DDoS攻击我们可以采用以下六种方法来抵御:
1、黑洞或沉洞:这种方法会阻止所有流量并将其转移到黑洞,并在那里被丢弃。缺点是所有流量都将被丢弃,无论是好的还是坏的并且目标业务会离线。同样,数据包过滤和速率限制措施只是简单地关闭一切,拒绝合法用户访问。
2、路由器和防火墙:路由器可以配置为通过过滤非必要协议来阻止简单的ping攻击,也可以阻止无效的ip地址。但是,路由器通常无法有效抵御更复杂的欺骗攻击和使用有效ip地址的应用程序级攻击。防火墙可以关闭与攻击相关的特定流量,但与路由器一样,它们不能执行反欺骗。
3、入侵检测系统:IDS解决方案将提供一些异常检测功能,因此它们将识别有效协议何时被用作攻击工具。它们可以与防火墙结合使用以自动阻止流量。不利的一面是,它们不是自动化的,因此需要安全专家手动调整,而且它们经常会产生误报。
4、服务器:正确配置服务器应用程序对于最大限度地减少DDoS攻击的影响至关重要。管理员可以明确定义应用程序可以使用哪些资源以及它将如何响应来自客户端的请求。结合DDoS缓解设备,优化的服务器有机会通过DDoS攻击继续运行。
5、DDoS缓解设备:一些公司要么制造专门用于净化流量的设备,要么将DDoS缓解功能构建到主要用于负载平衡或防火墙等其他功能的设备中,这些设备具有不同程度的有效性。没有一个是完美的。一些合法流量将被丢弃,一些非法流量将到达服务器。服务器基础设施必须足够强大以处理此流量并继续为合法客户端提供服务。
6、过度配置:或购买额外带宽或冗余网络设备来处理需求高峰可能是处理DDoS攻击的有效方法。使用外包服务提供商的优势之一是我们可以按需购买服务,例如可在我们需要时为自己提供更多带宽的突发电路,而不是在冗余网络接口和设备上进行昂贵的资本投资。
大多数情况下,我们并不知道DDoS攻击即将来临。攻击的性质通常会在中途发生变化,要求公司在几个小时或几天内快速、连续地做出反应。由于大多数攻击的主要影响是消耗我们的Internet带宽,因此服务提供商需要拥有带宽和设备来减轻攻击的影响。
总结:DDoS攻击是破坏性的隐形武器,可以在任何时候对我们资产发起攻击。我们对互联网的依赖不断增长,DDoS攻击的威胁不断扩大。如果组织想要“一切照旧”,可以使用火伞云DDoS产品来确保运营连续性和资源可用性。
