什么是DDoS緩解？

DDoS 緩解是指成功保護(hù)目標(biāo)服務(wù)器或網(wǎng)絡(luò)以抵御分布式拒絕服務(wù) (DDoS) 攻擊的過程，目標(biāo)受害者可以使用專門設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備或基于云的保護(hù)服務(wù)緩解傳入的威脅。

為什么需要DDoS緩解解決方案？

由于網(wǎng)絡(luò)構(gòu)成的基本邏輯，導(dǎo)致在線破壞者在拒絕服務(wù)的策略上占據(jù)優(yōu)勢(shì)，他們可以通過讓您的業(yè)務(wù)離線幾分鐘、幾小時(shí)或幾周，來(lái)實(shí)現(xiàn)相關(guān)的攻擊操作。根據(jù)國(guó)際知名殺毒軟件卡巴斯基的相關(guān)報(bào)告，DDoS攻擊平均使企業(yè)損失超過200萬(wàn)美元。

DDoS攻擊的有形成本包括

安裝應(yīng)用程序并重新運(yùn)行的成本

應(yīng)用程序不可用時(shí)客戶的收入損失

勒索，以防黑客要求

無(wú)形資產(chǎn)包括

品牌聲譽(yù)

失去客戶信任影響未來(lái)銷售

以DDoS緩解解決方案的形式添加安全控制可以降低DDoS損壞的風(fēng)險(xiǎn)。

緩解解決方案的幾個(gè)關(guān)鍵好處是：

將業(yè)務(wù)風(fēng)險(xiǎn)降至最低并減少停機(jī)時(shí)間

在不影響質(zhì)量的情況下，最大限度地降低與web安全相關(guān)的成本

保護(hù)網(wǎng)站和應(yīng)用程序性能吞吐量攻擊

基于安全規(guī)則防御現(xiàn)有和新的威脅

使用最新的安全策略防止不斷發(fā)展的攻擊

DDoS緩解如何工作？

DDoS緩解通過識(shí)別和阻止攻擊流量的來(lái)源來(lái)工作，例如使用防火墻規(guī)則或速率限制。此外，DDoS保護(hù)解決方案在攻擊流量到達(dá)受保護(hù)的網(wǎng)絡(luò)或網(wǎng)站之前吸收和過濾攻擊流量。這些解決方案通常使用流量整形、過濾和將流量重定向到清理中心，在那里分析和過濾攻擊流量。

DDoS抵御解決方案分四個(gè)階段工作：

1吸收

抵御DDoS攻擊的第一步是吸收攻擊，這樣可以保護(hù)系統(tǒng)不會(huì)停機(jī)。所以無(wú)論您選擇什么解決方案，第一要?jiǎng)?wù)是了解應(yīng)用程序每分鐘的請(qǐng)求和并發(fā)IP有多少，進(jìn)行多次測(cè)試是至關(guān)重要的。通常來(lái)說火傘云認(rèn)為基于云的DDoS保護(hù)解決方案更好，因?yàn)樗鼈兙哂凶詣?dòng)擴(kuò)展功能。本地服務(wù)方案由于服務(wù)器數(shù)量的限制，內(nèi)部部署解決方案顯得力不從心。

2檢測(cè)

下一步是檢測(cè)它是否是有效的DDoS攻擊，解決方案應(yīng)該能夠告訴：

URI級(jí)別有多少個(gè)請(qǐng)求？

來(lái)自IP的請(qǐng)求數(shù)量？

會(huì)話/主機(jī)級(jí)別有多少個(gè)請(qǐng)求？

整個(gè)域中有多少個(gè)請(qǐng)求？

3預(yù)防

下一步是防止攻擊傳遞到應(yīng)用程序。DDoS保護(hù)解決方案識(shí)別攻擊向量并阻止使用這些攻擊向量發(fā)出的請(qǐng)求，然后，該解決方案檢測(cè)各種多向量攻擊。人工智能在DDoS攻擊防范中發(fā)揮著重要作用。理想情況下，緩解解決方案應(yīng)能夠使用過去的數(shù)據(jù)并預(yù)測(cè)現(xiàn)場(chǎng)行為。在任何時(shí)間點(diǎn)，解決方案都應(yīng)該能夠盡可能詳細(xì)地建議和應(yīng)用“速率限制”。這些包括URI、會(huì)話/主機(jī)、IP和域速率限制。

4報(bào)復(fù)

報(bào)復(fù)是WAF供應(yīng)商提供的“托管服務(wù)”或DDoS保護(hù)服務(wù)的一大亮點(diǎn)。雖然人工智能可以建議速率限制，甚至應(yīng)用“阻止規(guī)則”，但擁有DDoS緩解解決方案將在很大程度上減少誤報(bào)。畢竟，從根本上講，DDoS攻擊看起來(lái)像是合法請(qǐng)求。

DDoS抵御解決方案分兩個(gè)階段工作：

監(jiān)視：托管服務(wù)團(tuán)隊(duì)監(jiān)視所有傳入警報(bào)。例如，假設(shè)通常每分鐘訪問一次的圖像文件突然每分鐘訪問100次?？偟膩?lái)說，在站點(diǎn)級(jí)別，它是請(qǐng)求的一個(gè)小增量。然而，人工智能將提醒托管服務(wù)團(tuán)隊(duì)和應(yīng)用程序所有者。

緩解：第二步是緩解。在分析了所有趨勢(shì)（包括每分鐘請(qǐng)求數(shù)、惡意IP等）后，解決方案提供商團(tuán)隊(duì)?wèi)?yīng)該能夠添加手術(shù)速率限制規(guī)則。還應(yīng)添加其他緩解機(jī)制，包括tarpitch、CAPTCHA等。

DDoS抵御解決方案的關(guān)鍵功能

以下是基于行為的DDoS保護(hù)的高級(jí)功能，可提供針對(duì)復(fù)雜DDoS攻擊的終極保護(hù)。

1速率限制

速率限制是DDoS攻擊緩解方法的標(biāo)準(zhǔn)功能，它使您能夠限制來(lái)自某些IP的流量。它有助于阻止應(yīng)用程序、用戶或機(jī)器人程序過度使用您的資源。??除了靜態(tài)速率限制外，解決方案還應(yīng)該能夠基于應(yīng)用程序的行為配置策略。如果出現(xiàn)異常，解決方案應(yīng)該能夠觸發(fā)警報(bào)。

2顆粒水平控制

DDoS緩解解決方案使您能夠添加細(xì)粒度配置，以使用自定義策略防止攻擊。用戶可以基于Geo、URI、IP標(biāo)頭以及源和目標(biāo)IP定義策略。理想情況下，這些策略的閾值應(yīng)通過基于行為的流量分析自動(dòng)配置。也就是說，營(yíng)銷活動(dòng)可能會(huì)產(chǎn)生突發(fā)請(qǐng)求，利用托管服務(wù)團(tuán)隊(duì)進(jìn)行DDoS保護(hù)將有助于減少誤報(bào)。

3全球控制

IP白名單和黑名單在管理內(nèi)部服務(wù)器請(qǐng)求和來(lái)自實(shí)際用戶的請(qǐng)求方面發(fā)揮著關(guān)鍵作用。

將特定IP地址或國(guó)家/地區(qū)列入黑名單和白名單非常重要，原因如下：

您不希望應(yīng)用程序的某些部分在特定國(guó)家/地區(qū)工作

您不想使應(yīng)用程序的某些部分可供公眾訪問

您希望允許優(yōu)秀的機(jī)器人程序訪問您的應(yīng)用程序

您有向生產(chǎn)服務(wù)器發(fā)出異常高請(qǐng)求的內(nèi)部服務(wù)器；它們既不應(yīng)被WAF阻止，也不應(yīng)改變行為DDoS速率限制策略

鑒于要管理的IP列表，安全管理員管理每個(gè)應(yīng)用程序的多個(gè)文件中的黑名單和白名單記錄變得很有挑戰(zhàn)性。使用全局控制，用戶可以在單個(gè)儀表板中查看所有黑名單/白名單IP或國(guó)家/地區(qū)的狀態(tài)，并修改相同的狀態(tài)。火傘云也更進(jìn)一步；它允許您在所有應(yīng)用程序中批量輸入IP地址/國(guó)家/地區(qū)到黑名單/白名單，而不是需要您挨個(gè)進(jìn)行自定義輸入。它還允許您覆蓋這些全局規(guī)則，并為特定應(yīng)用程序修改一些規(guī)則。

不僅僅是IP，而是IP范圍。在火傘云DDOS解決方案中，您甚至不必單獨(dú)輸入所有IP地址；如果您有一組需要列入黑名單/白名單的IP地址，您可以通過簡(jiǎn)單地提及它們來(lái)輸入這樣的IP地址系列。

例如，192.168.1.1/24將阻止192.168.3.1、192.168.2.2、192.188.1.3….到192.1680.124的所有IP地址，從上述選擇中沒有規(guī)則將應(yīng)用于IP 192.1681.25。

不僅如此，火傘云還允許安全管理員審查所有黑名單和白名單操作，并幫助調(diào)試任何安全漏洞。

4自動(dòng)擴(kuò)展性

大多數(shù)DDoS攻擊都會(huì)創(chuàng)建大量流量來(lái)耗盡資源容量。有時(shí)，當(dāng)流量和網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)，預(yù)防就失去了控制。因此，緩解過程失敗。DDoS保護(hù)解決方案利用了高度可擴(kuò)展的基礎(chǔ)架構(gòu)。這樣他們就可以根據(jù)必須處理的數(shù)據(jù)量增加流量。

例如，火傘云旨在吸收最大的DDoS攻擊。它利用華為云的DDOS基礎(chǔ)架構(gòu)來(lái)阻止大型攻擊流量。在啟用自動(dòng)縮放的同時(shí)，我們?cè)u(píng)估了10000個(gè)并發(fā)IP中高達(dá)2.3 TBps的DDoS攻擊。

5監(jiān)控和警報(bào)

DDoS緩解解決方案應(yīng)能夠持續(xù)監(jiān)控以您的資源為目標(biāo)的潛在攻擊，并能夠向應(yīng)用程序所有者/或托管服務(wù)團(tuán)隊(duì)發(fā)送實(shí)時(shí)警報(bào)，以監(jiān)視攻擊，并在需要時(shí)采取任何糾正措施。警報(bào)可以突出顯示被攻擊的域、攻擊的協(xié)議、會(huì)話詳細(xì)信息、用戶代理、地理位置、IP以及有助于區(qū)分有效請(qǐng)求和無(wú)效請(qǐng)求的任何其他信息，此功能大大減少了檢測(cè)和阻止DDoS攻擊所需的時(shí)間。

6內(nèi)容交付網(wǎng)絡(luò)

DDoS保護(hù)服務(wù)可以通過啟用CDN來(lái)減輕源服務(wù)器的負(fù)載。當(dāng)接收到請(qǐng)求時(shí)，CDN服務(wù)器將使用所請(qǐng)求頁(yè)面的緩存版本進(jìn)行響應(yīng)。在DDoS攻擊的情況下，CDN可以通過將攻擊流量重定向到多個(gè)服務(wù)器來(lái)吸收和分發(fā)攻擊流量，這有助于防止攻擊流量壓倒源服務(wù)器并導(dǎo)致網(wǎng)站不可用。DDoS解決方案在保護(hù)源服務(wù)器的同時(shí)保護(hù)和加速站點(diǎn)的性能。

7BOT保護(hù)

黑客通常創(chuàng)建機(jī)器人軍隊(duì)來(lái)發(fā)起DDoS攻擊，高級(jí)DDoS保護(hù)的多層架構(gòu)配備了機(jī)器人程序保護(hù)策略。?現(xiàn)如今，機(jī)器人正在使用狡猾的技術(shù)偽裝成正常機(jī)器人（比如百度或谷歌機(jī)器人），因?yàn)楹诳椭纀aidubot/Googlebot是一個(gè)所有企業(yè)都會(huì)被列入白名單的機(jī)器人。

例如，BOT偽裝者策略有助于檢測(cè)和阻止假裝是有用的機(jī)器人的惡意機(jī)器人。

8更廣泛的可見性

DDoS保護(hù)不僅僅用于阻止攻擊。該解決方案必須為用戶提供有關(guān)攻擊的重要見解和分析。您可以查看按IP和URL分類的攻擊統(tǒng)計(jì)信息。

緩解報(bào)告包括流量統(tǒng)計(jì)、前5名IP、前5個(gè)國(guó)家和前5個(gè)URI。深度可見性簡(jiǎn)化了取證，并確保準(zhǔn)確的DDoS抵御。