在這篇文章的前半部分，了解 DDoS 攻擊，我們討論了 DDoS 攻擊的具體細節。在這里，我們將討論您可以如何采取實(shí)際步驟來(lái)保護您的組織免受 DDoS 的破壞。超過(guò)80% 的公司在 2017 年至少經(jīng)歷過(guò)一次 DDoS 攻擊。這不再是是否會(huì )發(fā)生的問(wèn)題，而是您所在的組織何時(shí)會(huì )受到 DDoS 攻擊的問(wèn)題。公司如何實(shí)施有效的策略來(lái)防御 DDoS 攻擊？讓我們來(lái)看看。

緩解 DDoS 攻擊的最佳實(shí)踐

2016 年，我們看到了第一次武器化的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )攻擊，它使用Mirai 惡意軟件有效地摧毀了Netflix、Twitter、Reddit 等主流網(wǎng)站。從那時(shí)起，黑客可用的工具和方法只會(huì )增加。更糟糕的是，發(fā)起 DDoS 攻擊的價(jià)格已經(jīng)下降。它只會(huì )花費需要你的僵尸網(wǎng)絡(luò )租用20 $有290-300吉比特保證DDoS攻擊速率。

對于每個(gè)企業(yè)來(lái)說(shuō)，擁有某種針對大型 DDoS 攻擊的保護措施非常重要。許多經(jīng)典的 DDoS 保護形式無(wú)法對數據沖擊采取細致入微的方法。他們沒(méi)有將合法數據與惡意數據分開(kāi)，而是簡(jiǎn)單地不加選擇地丟棄所有傳入的數據。

但是，并非每種類(lèi)型的 DDoS 保護都對每種類(lèi)型的攻擊都有效?；诹髁康谋O控對于容量攻擊很有效，但對于網(wǎng)絡(luò )協(xié)議和應用程序攻擊則不太有效。另一方面，數據包分析對所有三個(gè)都有效。

您的 ISP 或云提供商提供的 DDoS 保護不太可能提供您需要的全面防御系統。他們有興趣保護自己的基礎設施。您有興趣保護您的應用程序和網(wǎng)絡(luò )。因此，您不應完全依賴(lài)它們來(lái)提供全面的 DDoS 保護。

DDoS 防護的四個(gè)要求

現代 DDoS 防御應包括四個(gè)關(guān)鍵要求：

• 精確：企業(yè)實(shí)施精確的 DDoS 防御系統至關(guān)重要。與更生硬的防御系統（例如遠程觸發(fā)黑洞過(guò)濾或 RTBH）不同，精確的保護解決方案可以查明威脅并相應地減輕威脅。這有助于避免代價(jià)高昂的錯誤，例如誤報或否定，這可能會(huì )阻止合法用戶(hù)或導致未命中的攻擊。
• 可擴展性：最大的DDoS 攻擊在 2018 年 3 月達到每秒 1.35 TB。鑒于當今 DDoS 攻擊的規模龐大，DDoS 保護系統在深度、廣度和高度上的可擴展性比以往任何時(shí)候都更加重要。根據數據包速率、攻擊機器人的數量和攻擊的比特率，不可擴展的系統可能被證明是不夠的。
• 戰時(shí)響應效率：自動(dòng)化 DDoS 防御系統可以消除對昂貴且耗時(shí)的手動(dòng)干預的需要。它應該自動(dòng)檢測、緩解、報告 DDoS 攻擊并從中學(xué)習。在發(fā)生多向量攻擊（同時(shí)使用多種技術(shù)和方法）時(shí)尤其如此。
• 可負擔性：公司可以通過(guò)更小、更高效且更實(shí)惠的 DDoS 保護系統，在不犧牲性能的情況下保持低成本。這減少了所需設備的數量，降低了成本并減少了機架空間，從而節省了時(shí)間和金錢(qián)。

不幸的是，由于以下原因，遺留系統無(wú)法滿(mǎn)足這些要求：

• 缺乏精確性：流量檢測無(wú)法檢測復雜的網(wǎng)絡(luò )和應用程序攻擊。
• 缺乏規模：需要成套設備才能創(chuàng )造有利可圖的清潔管道服務(wù)。
• 缺乏自動(dòng)化：需要經(jīng)過(guò)培訓的專(zhuān)家來(lái)啟動(dòng)耗時(shí)的手動(dòng)干預。
• 負擔不起：傳統系統的擴展成本太高。

DDoS 保護的現代方法

多向量 DDoS 攻擊的頻率呈指數增長(cháng)。IDG 的 DDoS 策略研究表明，UDP 洪水攻擊占所有攻擊的 20%。按層分類(lèi)：

• 29% 的攻擊發(fā)生在網(wǎng)絡(luò )層
• 25% 在應用層
• 25% 在網(wǎng)絡(luò )層
• 21% 在基礎設施服務(wù)

黑客對單個(gè)目標使用多種類(lèi)型的攻擊。對于現代 DDoS 保護解決方案來(lái)說(shuō)，滿(mǎn)足四個(gè)關(guān)鍵要求中的每一個(gè)都比以往任何時(shí)候都更加重要：精度、可擴展性、戰時(shí)響應效率和可負擔性。如果不全面，有效的 DDoS 保護策略將達不到要求。公司應該優(yōu)先考慮多層混合解決方案，這些解決方案可以為任何類(lèi)型的 DDoS 攻擊提供持續保護。

一種現代的、自上而下的 DDoS 保護方法使用多種工具并實(shí)現多個(gè)目標：

• 分層、深入的檢測：使用具有分層數據包檢測的經(jīng)濟高效的反應模式。
• 通過(guò)機器學(xué)習實(shí)現智能自動(dòng)化：無(wú)需人工干預。
• 使用單獨的策略擴展到 100K 的受監控實(shí)體：提供有利可圖的清潔管道服務(wù)。
• 克服組織孤島問(wèn)題：允許組織利用公共資源和人才。

公司通常實(shí)施三種部署模式之一。

• 主動(dòng)：主動(dòng)部署模式始終監視傳入流量并對其進(jìn)行檢測和緩解。因此，對于企業(yè)來(lái)說(shuō)，這是一種將基于數據包的檢測和緩解設備置于網(wǎng)絡(luò )邊緣的極其有效的方式。
• 反應式：反應式部署模式使用基于流的數據來(lái)全面了解網(wǎng)絡(luò )流量。它的工作原理是將特定流量路由到緩解器，將其清理干凈，然后將其重定向回網(wǎng)絡(luò )。這種模式是 ISP 或云提供商最常提供的模式。
• 混合：混合部署模式使用按需云緩解功能來(lái)解決容量攻擊，以及旨在檢測和緩解三種主要類(lèi)型的 DDoS 攻擊的在線(xiàn)和本地基于數據包的解決方案：容量、網(wǎng)絡(luò )協(xié)議和應用。

為了從現代 DDoS 保護方法中獲益并充分防御多向量攻擊，通常建議組織采用混合部署模式。

DDoS 云清理

公司還需要尋找提供 DDoS 云清理的解決方案。這需要一種云服務(wù)，用于在攻擊期間從組織的數據中心轉移流量。然后，云清理服務(wù)將消除惡意流量，然后再通過(guò) ISP 將合法流量發(fā)送回其正常路徑。

DDoS 威脅情報

威脅情報是 DDoS 防御策略的另一個(gè)重要方面。沒(méi)有它，公司將被迫使用猜測和盲目緩解來(lái)對抗攻擊。借助威脅情報，組織可以在攻擊其網(wǎng)絡(luò )之前識別任何類(lèi)型的常見(jiàn)威脅。公司努力從不完整和過(guò)時(shí)的威脅情報數據中找到重要的見(jiàn)解。公司必須關(guān)注可操作的威脅情報數據的實(shí)時(shí)饋送，以主動(dòng)監控對象（例如僵尸網(wǎng)絡(luò )、反射攻擊代理的 IP 地址等）。

正確的 DDoS 防御工具

公司不應低估找到合適的 DDoS 防御工具來(lái)使用的重要性。組織必須首先了解哪些類(lèi)型的攻擊最常見(jiàn)，哪些類(lèi)型越來(lái)越流行。放大攻擊是目前最常見(jiàn)的，緊隨其后的是狀態(tài)洪水，通常由僵尸網(wǎng)絡(luò )發(fā)起。這包括物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )，例如Mirai 攻擊中使用的僵尸網(wǎng)絡(luò )?？傊?，融合技術(shù)和流程的綜合 DDoS 解決方案將取得成功，這要歸功于：

• 專(zhuān)用的本地設備，可以 24/7 全天候保持警惕。
• 可以對任何類(lèi)型的攻擊做出響應和反應的專(zhuān)家事件團隊。
• 云，它可以作為轉移流量的目的地。

DDoS 防御的六個(gè)步驟

在 DDoS 攻擊期間，有效的防御將包括：

• 本地設備會(huì )自動(dòng)檢測攻擊并激活緩解程序。
• 當攻擊升級到某個(gè)級別而未成功緩解時(shí)，事件響應團隊會(huì )自動(dòng)收到警報。
• 事件響應團隊通過(guò)驗證真正的攻擊正在發(fā)生（而不是誤報）、分析攻擊、提供緩解指導并在需要時(shí)推薦云擺動(dòng)來(lái)參與。
• 一個(gè)轉移信號連同有關(guān)攻擊的詳細信息被發(fā)送到云端。
• 云團隊通常使用邊界網(wǎng)關(guān)協(xié)議 (BGP) 或域名系統 (DNS) 來(lái)轉移流量以進(jìn)行清理。
• 攻擊結束后，流量通過(guò) ISP 恢復到正常路徑。