在这篇文章的前半部分,了解 DDoS 攻击,我们讨论了 DDoS 攻击的具体细节。在这里,我们将讨论您可以如何采取实际步骤来保护您的组织免受 DDoS 的破坏。超过80% 的公司在 2017 年至少经历过一次 DDoS 攻击。这不再是是否会发生的问题,而是您所在的组织何时会受到 DDoS 攻击的问题。公司如何实施有效的策略来防御 DDoS 攻击?让我们来看看。
缓解 DDoS 攻击的最佳实践
2016 年,我们看到了第一次武器化的物联网僵尸网络攻击,它使用Mirai 恶意软件有效地摧毁了Netflix、Twitter、Reddit 等主流网站。从那时起,黑客可用的工具和方法只会增加。更糟糕的是,发起 DDoS 攻击的价格已经下降。它只会花费需要你的僵尸网络租用20 $有290-300吉比特保证DDoS攻击速率。
对于每个企业来说,拥有某种针对大型 DDoS 攻击的保护措施非常重要。许多经典的 DDoS 保护形式无法对数据冲击采取细致入微的方法。他们没有将合法数据与恶意数据分开,而是简单地不加选择地丢弃所有传入的数据。
但是,并非每种类型的 DDoS 保护都对每种类型的攻击都有效。基于流量的监控对于容量攻击很有效,但对于网络协议和应用程序攻击则不太有效。另一方面,数据包分析对所有三个都有效。
您的 ISP 或云提供商提供的 DDoS 保护不太可能提供您需要的全面防御系统。他们有兴趣保护自己的基础设施。您有兴趣保护您的应用程序和网络。因此,您不应完全依赖它们来提供全面的 DDoS 保护。
DDoS 防护的四个要求
现代 DDoS 防御应包括四个关键要求:
- 精确:企业实施精确的 DDoS 防御系统至关重要。与更生硬的防御系统(例如远程触发黑洞过滤或 RTBH)不同,精确的保护解决方案可以查明威胁并相应地减轻威胁。这有助于避免代价高昂的错误,例如误报或否定,这可能会阻止合法用户或导致未命中的攻击。
- 可扩展性:最大的DDoS 攻击在 2018 年 3 月达到每秒 1.35 TB。鉴于当今 DDoS 攻击的规模庞大,DDoS 保护系统在深度、广度和高度上的可扩展性比以往任何时候都更加重要。根据数据包速率、攻击机器人的数量和攻击的比特率,不可扩展的系统可能被证明是不够的。
- 战时响应效率:自动化 DDoS 防御系统可以消除对昂贵且耗时的手动干预的需要。它应该自动检测、缓解、报告 DDoS 攻击并从中学习。在发生多向量攻击(同时使用多种技术和方法)时尤其如此。
- 可负担性:公司可以通过更小、更高效且更实惠的 DDoS 保护系统,在不牺牲性能的情况下保持低成本。这减少了所需设备的数量,降低了成本并减少了机架空间,从而节省了时间和金钱。
不幸的是,由于以下原因,遗留系统无法满足这些要求:
- 缺乏精确性:流量检测无法检测复杂的网络和应用程序攻击。
- 缺乏规模:需要成套设备才能创造有利可图的清洁管道服务。
- 缺乏自动化:需要经过培训的专家来启动耗时的手动干预。
- 负担不起:传统系统的扩展成本太高。
DDoS 保护的现代方法
多向量 DDoS 攻击的频率呈指数增长。IDG 的 DDoS 策略研究表明,UDP 洪水攻击占所有攻击的 20%。按层分类:
- 29% 的攻击发生在网络层
- 25% 在应用层
- 25% 在网络层
- 21% 在基础设施服务
黑客对单个目标使用多种类型的攻击。对于现代 DDoS 保护解决方案来说,满足四个关键要求中的每一个都比以往任何时候都更加重要:精度、可扩展性、战时响应效率和可负担性。如果不全面,有效的 DDoS 保护策略将达不到要求。公司应该优先考虑多层混合解决方案,这些解决方案可以为任何类型的 DDoS 攻击提供持续保护。
一种现代的、自上而下的 DDoS 保护方法使用多种工具并实现多个目标:
- 分层、深入的检测:使用具有分层数据包检测的经济高效的反应模式。
- 通过机器学习实现智能自动化:无需人工干预。
- 使用单独的策略扩展到 100K 的受监控实体:提供有利可图的清洁管道服务。
- 克服组织孤岛问题:允许组织利用公共资源和人才。
公司通常实施三种部署模式之一。
- 主动:主动部署模式始终监视传入流量并对其进行检测和缓解。因此,对于企业来说,这是一种将基于数据包的检测和缓解设备置于网络边缘的极其有效的方式。
- 反应式:反应式部署模式使用基于流的数据来全面了解网络流量。它的工作原理是将特定流量路由到缓解器,将其清理干净,然后将其重定向回网络。这种模式是 ISP 或云提供商最常提供的模式。
- 混合:混合部署模式使用按需云缓解功能来解决容量攻击,以及旨在检测和缓解三种主要类型的 DDoS 攻击的在线和本地基于数据包的解决方案:容量、网络协议和应用。
为了从现代 DDoS 保护方法中获益并充分防御多向量攻击,通常建议组织采用混合部署模式。
DDoS 云清理
公司还需要寻找提供 DDoS 云清理的解决方案。这需要一种云服务,用于在攻击期间从组织的数据中心转移流量。然后,云清理服务将消除恶意流量,然后再通过 ISP 将合法流量发送回其正常路径。
DDoS 威胁情报
威胁情报是 DDoS 防御策略的另一个重要方面。没有它,公司将被迫使用猜测和盲目缓解来对抗攻击。借助威胁情报,组织可以在攻击其网络之前识别任何类型的常见威胁。公司努力从不完整和过时的威胁情报数据中找到重要的见解。公司必须关注可操作的威胁情报数据的实时馈送,以主动监控对象(例如僵尸网络、反射攻击代理的 IP 地址等)。
正确的 DDoS 防御工具
公司不应低估找到合适的 DDoS 防御工具来使用的重要性。组织必须首先了解哪些类型的攻击最常见,哪些类型越来越流行。放大攻击是目前最常见的,紧随其后的是状态洪水,通常由僵尸网络发起。这包括物联网僵尸网络,例如Mirai 攻击中使用的僵尸网络。总之,融合技术和流程的综合 DDoS 解决方案将取得成功,这要归功于:
- 专用的本地设备,可以 24/7 全天候保持警惕。
- 可以对任何类型的攻击做出响应和反应的专家事件团队。
- 云,它可以作为转移流量的目的地。
DDoS 防御的六个步骤
在 DDoS 攻击期间,有效的防御将包括:
- 本地设备会自动检测攻击并激活缓解程序。
- 当攻击升级到某个级别而未成功缓解时,事件响应团队会自动收到警报。
- 事件响应团队通过验证真正的攻击正在发生(而不是误报)、分析攻击、提供缓解指导并在需要时推荐云摆动来参与。
- 一个转移信号连同有关攻击的详细信息被发送到云端。
- 云团队通常使用边界网关协议 (BGP) 或域名系统 (DNS) 来转移流量以进行清理。
- 攻击结束后,流量通过 ISP 恢复到正常路径。