防護DDoS問題你知道更好的緩解流程嗎？

 

公司瞭解網路流量資料是防護DDoS攻擊的關鍵。大多數人可能將DDoS攻擊僅視為安全問題。但現實情況是，網路運營團隊在安全團隊看到攻擊本身之前就已經看到流量異常。如今，攻擊者正在增加其目標多樣性和複雜性，同時攻擊流量會同時跨越資料，應用程式和基礎架構，以增加成功的機會。

 

 

 

一般是如何防護DDoS攻擊？

 

典型的DDoS防禦模型利用帶外裝置，即網路運營商在其網路運營中心（NOC）或DC中安裝的裝置。這些裝置檢測網路流資料，邊緣路由器的網路後設資料和邊界閘道器協議（BGP）資料中的異常。然後，該裝置向網路發出訊號，以在網路邊緣丟棄流量或將流量重定向到本地DDoS清理裝置。

 

有時，流量還會透過第三方雲緩解服務傳遞，隨著時間的流逝，緩解裝置只需要緩解總流量的一小部分。僅在發生攻擊時才有選擇地將流量推送到緩解裝置，以使該解決方案的成本效益最大化。這種方法在紙面上是有意義的，但是所有基於此類裝置的防護DDoS解決方案固有的缺點是它們的檢測精度很低。

 

結果，工程師們陷入了使用盲目人工干預處理不準確警報的困境。這意味著他們要花更多時間對網路裝置進行配置更改或重新路由流量，而不是專注於關鍵任務。而且，這些干預措施通常不會帶來積極的結果。為了採用更準確的緩解方法，公司需要一種能夠實時監控大量網路流量的解決方案。

 

公司如何建立更好地緩解流程？公司可以透過多種方式開始將DDoS攻擊視為網路問題。它們包括：

 

1、基於雲的DDoS防禦服務

 

基於雲的DDoS防禦服務可以檢測和緩解攻擊，而無需受攻擊的網路部署本地資源。大多數雲DDoS防禦服務不提供檢測服務；而是由客戶自行決定在發生攻擊時重新路由流量。或者，公司可以使用“始終線上”服務來清理流量並將其返回給相關公司。基於雲的服務比內聯方法便宜一些，但價格卻不高。

 

2、路由技術：遠端觸發黑洞（RTBH）

 

流量黑洞是透過更改路由引數在網路邊緣丟棄流量來實現的DDoS緩解形式。黑洞的最常見形式是基於目標的遠端觸發黑洞（RTBH）。這種方法將攻擊流量重新路由到不存在的目的地（黑洞），其缺點是合法流量也可能丟失。BGP Flowspec透過僅阻止攻擊流量並允許合法流量透過對這種方法進行了改進。但是，Flowspec可能是要部署的複雜協議。

 

3、串聯裝置緩解  

 

此方法透過一個或多個支援深度資料包檢查的DDoS保護裝置傳送所有流量。如果裝置確定要攻擊的特定流量或資料包，則將其丟棄並允許合法流量透過。此方法對於更復雜的攻擊型別以及非常快速的檢測和緩解很有用。但是，這是一種昂貴的方法，無法擴充套件到大型網路。

 

4、混合防護DDoS方式

 

這種方法可從本地裝置獲得最快的響應，由本地緩解裝置和基於雲的緩解服務組合而成，可以使用基於雲的緩解服務將其擴充套件到防護非常大的攻擊。

 

5、監控，檢測，緩解

 

在可預見的將來，許多企業員工正在採用在家工作的模式。這種安排將建立一個分散式網路，該網路的端點安全性較低，並且需要監視大量第三方平臺整合。結果，DDoS攻擊正變得越來越重要。為了減輕DDoS攻擊，公司必須將其視為安全問題而不是網路可靠性問題。遭到大流量攻擊就必須透過專業的網路安全公司來進行防禦了。企業可以透過配置高防IP，讓所有的訪問先經過高防IP，如果有DDOS/CC攻擊，都會自動識別清洗，將正常流量轉發到源伺服器，保障伺服器穩定執行。

 

 

 

為了保障伺服器的穩定執行，一定要提早選擇合適的防護DDoS產品，目前網際網路環境越來越複雜，網路攻擊變得越來越頻繁，對各大網際網路企業造成的影響和損失也越來越大，不要等到伺服器崩潰再想辦法，到時的損失就無法彌補了。

 

本文來自：https://www.zhuanqq.com/News/Industry/263.html