什么是 DDoS?DDoS 代表“分布式拒绝服务”。” DDoS 攻击是恶意尝试使服务器或网络资源对用户不可用,通常是通过暂时中断或暂停连接到 Internet 的主机的服务。与拒绝服务 (DoS) 攻击(其中使用一台计算机和一个 Internet 连接用数据包淹没目标资源)不同,DDoS 攻击使用多台计算机和许多 Internet 连接,这些连接通常分布在全球范围内,称为僵尸网络。
DDoS 攻击主要有 3 种类型,每种类型都有自己独特的保护策略和工具:
基于卷的攻击:基于容量的攻击会产生大量的网络级请求,使网络设备或服务器不堪重负。这些可能包括UDP 泛洪、ICMP 泛洪和其他使用欺骗网络数据包的攻击。为了防止基于流量的攻击,反 DDoS 提供商执行大规模“清理”,使用云服务器检查流量,丢弃恶意请求并让合法请求通过。这种方法可以应对大规模、数 GB 的 DDoS 攻击。这也称为 DDoS 通缩。
协议攻击:协议攻击会生成利用网络协议弱点的请求。其中包括SYN 泛洪、碎片化数据包和Ping of Death。为了防止协议攻击,反 DDoS 工具通过在不良流量到达您的站点之前阻止它来减轻协议攻击。高级解决方案可以分析流量并将合法用户与恶意、自动化的客户端和机器人区分开来。
应用层攻击:在应用层攻击中,攻击者向 Web 应用程序或其他软件应用程序生成大量请求,这些请求似乎来自合法用户。其中包括 GET/POST 泛洪、低速攻击或针对 Apache 或 Windows漏洞的特定攻击。为了防止应用层攻击,反 DDoS 系统会监控站点访问者的行为,阻止负责应用层攻击的恶意机器人,并使用多种机制(例如 JavaScript 测试、cookie 挑战和CAPTHA)挑战无法识别的访问者。
防 DDoS 软件解决方案
Anti-DDoS 软件在现有硬件上运行,分析并过滤掉恶意流量。通常,Anti-DDoS 软件比基于硬件的解决方案更具成本效益且更易于管理。但是,基于软件和脚本的解决方案只能提供部分 DDoS 攻击保护,容易出现误报,并且无助于缓解基于数量的 DDoS 攻击。本地安装的软件比设备或基于云的解决方案更容易不堪重负,后者在面对大型攻击时更具可扩展性。
防DDoS防火墙
DDoS 攻击试图通过用大量看似合法的请求淹没服务器/防火墙来压倒它。传统防火墙难以有效拦截DDoS攻击,往往自身成为海量请求的瓶颈,使攻击更加严重。传统防火墙的一些弱点可以通过调整网络拓扑结构以及优化防火墙和入侵防御/检测系统(IPS/IDS) 的部署和配置来缓解。但即使是最佳的防火墙部署和配置也无法消除 DDoS 损害,尤其是在应用层攻击场景中。
Web 应用程序防火墙 (WAF) 可以充当反 DDoS 防火墙,可以智能地清除不良请求,是 DDoS 保护的有效且经济的替代方案。WAF 通常部署在云中,通过发送 cookie 或其他响应来响应可疑的应用程序请求——在允许访问系统之前确保用户是真实的并且请求是有效的。
防DDoS硬件解决方案
防 DDoS 硬件是潜在攻击者和您的网络之间的物理保护层。尽管抗 DDoS 硬件可以防止某些类型的攻击,但其他类型(如 DNS 攻击)完全不受硬件影响,因为损坏甚至在流量到达设备之前就已完成。硬件保护可能很昂贵。除了硬件本身的资本支出外,维护、安置和运行设备所需的设施和熟练人力还需要大量运营费用。额外的成本是设备折旧和升级。
防DDoS托管
降低 DDoS 攻击风险的一种常见方法是与支持 DDoS 的托管服务提供商签订合同,该提供商已经拥有在发生 DDoS 攻击时吸收不良流量所需的设备。但是,Anti-DDoS 托管的效率有限,并且比传统托管成本高得多。在 Anti-DDoS 托管生态圈中,网站所有者通常有两种选择:
- 专用托管——往往非常昂贵,而且不灵活/可扩展。
- 租用主机——既昂贵又受主机提供商的总容量和主机计划的特定容量的限制。
但是,这两个选项都没有提供智能应用层DDoS 缓解。此外,Anti-DDoS 托管的成本效益低于其他选项,因为吸收 DDoS 流量是有代价的,并且不提供基于智能行为/签名的识别。在典型的 Anti-DDoS 托管场景中,网站所有者会持续为用于吸收潜在攻击的带宽付费——即使没有此类攻击正在进行。一个更具成本效益和灵活性的选择是识别攻击,并按需扩展以响应它们。