DDoS（分布式拒絕服務(wù)）攻擊完全繞過(guò)防火墻安全和入侵防御系統，有可能關(guān)閉您的整個(gè)計算機系統和網(wǎng)絡(luò )。擁有適當的DDoS 保護是網(wǎng)絡(luò )安全管理的重要組成部分，但不同的緩解產(chǎn)品可能難以比較。

什么是 DDoS？

分布式拒絕服務(wù)攻擊使公司的服務(wù)器不堪重負，其 IT 無(wú)法處理大量流量。這有效地關(guān)閉了系統并阻止合法流量到達它。在最近的歷史中，IoT（物聯(lián)網(wǎng)）導致 DDoS 攻擊的有效性不斷提高，因為 IoT 設備通常不受保護，并且是攻擊者增加其 DDoS 攻擊規模的有用工具。

由于不同的 DDoS 保護可以不同地處理它們，因此了解三種主要類(lèi)型的 DDoS 攻擊很重要：

• 洪水/體積攻擊：這是一種圍繞著(zhù)大量流量的攻擊，占用了您互聯(lián)網(wǎng)連接的整個(gè)帶寬。
• 資源匱乏攻擊：這是一種更有針對性的攻擊，它使用特定類(lèi)型的流量來(lái)嘗試使您的操作系統或網(wǎng)絡(luò )堆棧崩潰/
• 應用程序攻擊：這是另一種有針對性的攻擊，這一次工作在 OSI 模型的第 7 層，特定流量會(huì )導致您的應用程序或它所在的服務(wù)器崩潰。

攻擊者出于多種原因會(huì )對公司使用 DDoS 攻擊，但最常見(jiàn)的動(dòng)機是：

• 使用 DDoS 攻擊來(lái)掩蓋另一次攻擊 - 惡意軟件和木馬通常與 DDOS 攻擊相結合進(jìn)行傳遞。然后可以通過(guò)多種方式（竊取數據、勒索軟件攻擊等）使用這種滲透來(lái)進(jìn)一步攻擊公司的系統。
• 破壞競爭 - 公司可以利用 DDOS 工具對其競爭對手發(fā)起攻擊，關(guān)閉他們的業(yè)務(wù)，直到攻擊可以停止。
• 腳本小子 - 嘗試使用可用的免費 DDoS 工具的孩子將關(guān)閉公司的系統，只是為了證明他們可以。他們對目標公司沒(méi)有任何惡意，但同樣具有破壞性。

什么是 DDoS 防護？

DDoS 緩解是一種專(zhuān)業(yè)的解決方案，可以防止 DDoS 攻擊，可以有多種形式，但最常見(jiàn)的是：

• DDoS 緩解設備：您從供應商處購買(mǎi)此保護并將其安裝在系統前面以過(guò)濾流量。最初安裝它們相對便宜，但是如果您的系統增長(cháng)，它們將需要進(jìn)一步的投資，并且它們很容易被超出您的帶寬容量的洪水攻擊所淹沒(méi)。（一些數據中心將把它作為他們最便宜的 DDoS 解決方案提供，但如果它是一個(gè)以設備為主導的解決方案，這就是他們將提供的。）
• 來(lái)自 ISP 的 DDos 服務(wù)：互聯(lián)網(wǎng)服務(wù)提供商還可以通過(guò)過(guò)濾所有傳入流量來(lái)為其客戶(hù)提供 DDoS 解決方案。這可能非常有效且具有成本效益，因為它甚至在到達您的 IT 系統之前就過(guò)濾了所有流量，但在防止針對您的應用程序或您使用多個(gè) ISP 的某些攻擊方面存在嚴重限制。
• 來(lái)自您的數據中心的 DDoS 保護：這種保護非常適合洪水攻擊，因為數據中心配備了足夠的資源來(lái)處理流量，并且具有由已經(jīng)負責您的 IT 基礎設施的工程師安裝的額外好處。它也成為您 IT 現有運營(yíng)成本的一部分。
• 來(lái)自第三方/云服務(wù)提供商 (CSP) 的 DDoS 保護：第三方可以代表您保護您的 IP 地址，這意味著(zhù)您的互聯(lián)網(wǎng)流量首先到達他們的網(wǎng)絡(luò )，他們可以對其進(jìn)行過(guò)濾。這個(gè) DDoS 保護系列正在興起，因為云資源可以按需大規模擴展。

如您所見(jiàn)，DDoS 保護選項種類(lèi)繁多，您的最終選擇取決于您的風(fēng)險狀況和預算，但仍有一些標準可用于比較不同類(lèi)型的保護。

良好的 DDoS 緩解有哪些要求？

有效的 DDoS 防護需要能夠識別 DDoS 攻擊中的攻擊流量并將其過(guò)濾掉。它的效果取決于您可以用來(lái)比較不同類(lèi)型的 DDoS 保護的三個(gè)因素。

1. 容量

隨著(zhù)時(shí)間的推移，DDoS 攻擊只會(huì )變得越來(lái)越強大，您的 DDoS 保護需要能夠應對其發(fā)送的流量。據報道，超過(guò) 1Tbps的 DDoS 攻擊，雖然您可能不需要那么多容量，但 Comparitech 的研究表明，目前平均 DDoS 攻擊超過(guò) 1Gbps。確保您的 DDoS 保護具有超過(guò) 1Gbps 的標準容量，但如果您受到更大的攻擊，還具有擴展能力。

2. 保護每一層攻擊

DDoS 攻擊可以有多種形式，具體取決于它們如何放大流量以及它們用來(lái)壓倒目標計算機系統的方式。這些不同類(lèi)型的攻擊根據它們攻擊的數據傳輸過(guò)程的哪一層進(jìn)行標記。您的 DDoS 保護應涵蓋可能的 DDoS 攻擊的每一層，否則您將承擔不必要的風(fēng)險。

3.響應速度

如果不開(kāi)啟，即使是世界上最好的 DDoS 防護也無(wú)法保護您。您的 DDoS 緩解提供商需要向您展示其激活過(guò)程是什么，并且它會(huì )迅速發(fā)生以避免中斷。

一個(gè)“永遠在線(xiàn)”的解決方案就是上面所說(shuō)的：進(jìn)入您系統的所有流量都被您的 DDoS 保護過(guò)濾，因此攻擊在它開(kāi)始的那一刻就得到了緩解。然而，這是一種資源密集型的運營(yíng)方式，并且伴隨著(zhù)成本。

雖然“始終在線(xiàn)”是 DDoS 緩解的理想部署，但您需要的最低要求是讓您的 DDoS 保護提供商展示在攻擊開(kāi)始時(shí)快速部署 DDoS 保護的能力，并且不會(huì )讓您容易受到攻擊。

您應該為 DDoS 緩解支付多少費用？

DDoS 防護包可以通過(guò)多種方式涵蓋上述三個(gè)因素，因此 DDoS 緩解有多種價(jià)位。但是，“一分錢(qián)一分貨”的一般規則在這里適用，您應該檢查提供給您的任何廉價(jià) DDoS 緩解措施的規范，了解它們如何處理三個(gè)因素：容量、層保護和速度的回應。DDoS 保護的廉價(jià)選項（如緩解設備）的容量很可能比其他選項低得多，這意味著(zhù)它無(wú)法處理與其他選項相同規模的洪水攻擊。

確定 DDoS 保護中的標準內容，以及僅以額外費用提供的內容。如果您選擇了廉價(jià)的 DDoS 保護包，然后攻擊超出了它的能力，您可能會(huì )被迫向您的提供商支付高額費用以應對攻擊。您最終可能會(huì )被收取額外費用的事情包括：

• DDoS 攻擊每秒傳輸的數據超過(guò)您的保護能力
• 一個(gè)月內的幾次 DDoS 攻擊，任何規模，都可能不在您的套餐中

DDoS 保護的固定費率費用將保護您免受這種情況的影響，因為無(wú)論您受到多少 DDoS 攻擊或其規模大小，您每個(gè)月都將被收取標準金額。

如何選擇合適的 DDoS 防護？

任何公司都有可能成為 DDoS 攻擊的受害者，因此確保 DDoS 保護到位很重要。您應該選擇的保護級別取決于您的客戶(hù)和您的員工失去對您系統的訪(fǎng)問(wèn)權限的破壞性程度。

獲得 DDoS 保護的最便捷方法是讓您的數據中心提供商為您安裝一個(gè)，因為他們已經(jīng)處理了您的網(wǎng)絡(luò )連接。他們將向您解釋他們不同選項的功能，以及他們如何處理三個(gè)關(guān)鍵因素。在選擇托管 IT 的位置時(shí)，數據中心可以提供的 DDoS 保護絕對是一個(gè)需要考慮的因素。