DDoS攻擊可以使企業(yè)完全宕機(jī)數(shù)小時(shí)以上，而宕機(jī)的后果可能很?chē)?yán)重，各種規(guī)模的企業(yè)和政府都可能受到影響。2021年，由于系統(tǒng)中斷一小時(shí)導(dǎo)致銷(xiāo)售額大幅下降，亞馬遜為此遭受了約3400萬(wàn)美元的直接財(cái)務(wù)損失。而隨后由于Fakebook的服務(wù)中斷，影響到了Meta的直接收入達(dá)到了近1億美元。

因此幾乎每個(gè)有在線(xiàn)業(yè)務(wù)的企業(yè)都需要衡量其在網(wǎng)站防護(hù)上面所需要的花費(fèi)及其投資回報(bào)率，怎樣用最合理的成本來(lái)進(jìn)行最大化的攻擊防護(hù)是每個(gè)企業(yè)需要考慮的很重要的問(wèn)題。

火傘云為大家分享阻止DDoS攻擊的15個(gè)獨(dú)家技巧，希望可以幫助大家更有效的阻止DDoS攻擊：

1.建立多層DDoS防護(hù)體系

當(dāng)前的DDoS攻擊模式已經(jīng)與5-10年前有很大的不同。早期的DDoS攻擊主要集中在第3層或第4層（協(xié)議和傳輸層）的容量攻擊。如今DDoS攻擊有許多不同的類(lèi)型，每種類(lèi)型都針對(duì)不同的層（網(wǎng)絡(luò)層、傳輸層、會(huì)話(huà)層、應(yīng)用層）或多層攻擊組合。

此外，攻擊者正在尋找使網(wǎng)站無(wú)法訪問(wèn)合法流量的新方法和利用漏洞的致命方法，從而策劃高度復(fù)雜的攻擊。在這種情況下，無(wú)法通過(guò)簡(jiǎn)單地增加網(wǎng)絡(luò)帶寬或使用傳統(tǒng)防火墻來(lái)阻止DDoS攻擊。您需要一個(gè)全面的、多模塊的、多層次的DDoS防護(hù)方案來(lái)規(guī)避各種攻擊，包括應(yīng)用層DDoS攻擊。

因此您的解決方案必須具有可擴(kuò)展性，并具有內(nèi)置冗余、流量監(jiān)控功能、業(yè)務(wù)邏輯缺陷檢測(cè)和漏洞管理功能。

2.避免成為肉雞

攻擊者使用的一種常見(jiàn)策略是DDoS僵尸網(wǎng)絡(luò)，這是一個(gè)由遠(yuǎn)程控制的受感染設(shè)備組成的網(wǎng)絡(luò)，可向目標(biāo)發(fā)送大量流量。假設(shè)您的機(jī)器因DDoS攻擊而關(guān)閉，可能系統(tǒng)會(huì)遭到破壞并被用作肉雞。

為了避免成為肉雞，必須做好對(duì)應(yīng)的防范：

讓您的設(shè)備和軟件保持最新

使用強(qiáng)而獨(dú)特的密碼

小心可疑的電子郵件和附件

使用信譽(yù)良好的反惡意軟件解決方案

使用信譽(yù)良好的VPN

3.識(shí)別攻擊類(lèi)型

通過(guò)了解每種攻擊類(lèi)型的特征并快速識(shí)別它們，DDoS 保護(hù)程序可以實(shí)時(shí)響應(yīng)，在攻擊造成重大損害之前有效地緩解攻擊。識(shí)別攻擊類(lèi)型允許更有針對(duì)性和有效的防御機(jī)制，例如過(guò)濾特定流量或阻止惡意 IP 地址。此外及早識(shí)別攻擊類(lèi)型有助于預(yù)測(cè)和預(yù)防未來(lái)的攻擊并改善整體安全態(tài)勢(shì)，因此在攻擊者發(fā)動(dòng)攻擊之前就識(shí)別攻擊類(lèi)型的能力是DDoS保護(hù)程序不可或缺的一部分。

一般來(lái)說(shuō)企業(yè)可能會(huì)遇到三種常見(jiàn)的DDoS攻擊類(lèi)型：

a.應(yīng)用層（L7）攻擊或HTTP泛洪攻擊

這種應(yīng)用層攻擊針對(duì)具有來(lái)自多個(gè)來(lái)源的請(qǐng)求的應(yīng)用程序。此類(lèi)攻擊會(huì)生成大量POST、GET或HTTP請(qǐng)求，導(dǎo)致服務(wù)停機(jī)數(shù)小時(shí)至數(shù)周不等。由于成本低且易于操作，應(yīng)用層攻擊被廣泛用于電子商務(wù)、銀行和創(chuàng)業(yè)網(wǎng)站等。

b.UDP放大攻擊

攻擊者使用開(kāi)放的NTP請(qǐng)求流量以阻塞目標(biāo)服務(wù)器或網(wǎng)絡(luò)。L3/L4（網(wǎng)絡(luò)或傳輸）上的這種流量隨著有效負(fù)載流量而增強(qiáng)，并且與請(qǐng)求大小相比是巨大的，因此會(huì)使服務(wù)不堪重負(fù)而宕機(jī)。

c.DNS泛洪攻擊

DNS泛洪是針對(duì)將域名轉(zhuǎn)換為IP地址的DNS（域名系統(tǒng)）服務(wù)器的DDoS攻擊。這種攻擊旨在通過(guò)大流量淹沒(méi)DNS服務(wù)器，使合法用戶(hù)無(wú)法訪問(wèn)目標(biāo)網(wǎng)站或在線(xiàn)服務(wù)。

4.創(chuàng)建DDoS攻擊威脅模型

DDoS攻擊威脅模型是一種結(jié)構(gòu)化方法，用于識(shí)別和分析DDoS攻擊給您的在線(xiàn)服務(wù)或網(wǎng)站帶來(lái)的潛在風(fēng)險(xiǎn)。

大多數(shù)互聯(lián)網(wǎng)企業(yè)都在努力處理網(wǎng)絡(luò)資源庫(kù)存，以跟上不斷增長(zhǎng)的增長(zhǎng)和客戶(hù)需求。新的門(mén)戶(hù)網(wǎng)站、支付網(wǎng)關(guān)、應(yīng)用系統(tǒng)、營(yíng)銷(xiāo)領(lǐng)域和其他資源經(jīng)常被不斷創(chuàng)建和淘汰。

而您的網(wǎng)絡(luò)資源是否管理有序井井有條？火傘云有以下建議：

確定您想要保護(hù)的資產(chǎn)——?jiǎng)?chuàng)建一個(gè)數(shù)據(jù)庫(kù)，其中包含您想要防止DDoS攻擊的所有Web資產(chǎn)，作為清單。它應(yīng)該包含網(wǎng)絡(luò)詳細(xì)信息、正在使用的協(xié)議、域、應(yīng)用程序的數(shù)量、它們的使用、最后更新的版本等。

定義潛在的攻擊者——定義可能以您的資產(chǎn)為目標(biāo)的潛在攻擊者，例如網(wǎng)絡(luò)黑客、競(jìng)爭(zhēng)對(duì)手或民族國(guó)家行為者。

確定攻擊向量——確定攻擊者可以用來(lái)發(fā)起DDoS攻擊的各種攻擊向量，如UDP泛洪、SYN泛洪或HTTP 泛洪。

確定攻擊面——確定資產(chǎn)的攻擊面，包括網(wǎng)絡(luò)拓?fù)?、硬件基礎(chǔ)設(shè)施和軟件堆棧。

評(píng)估風(fēng)險(xiǎn)級(jí)別——通過(guò)評(píng)估攻擊發(fā)生的概率、攻擊的潛在影響以及檢測(cè)和緩解攻擊的可能性來(lái)評(píng)估每個(gè)攻擊向量的風(fēng)險(xiǎn)級(jí)別。

5.設(shè)置網(wǎng)絡(luò)資源優(yōu)先級(jí)

所有的網(wǎng)絡(luò)資源都是平等的還是您希望首先保護(hù)哪些資源？

從指定Web資源的優(yōu)先級(jí)和重要性開(kāi)始。例如以業(yè)務(wù)和數(shù)據(jù)為中心的Web資產(chǎn)應(yīng)置于具有24h*7dd DDoS關(guān)鍵保護(hù)之下。

比如火傘云通常設(shè)置三個(gè)等級(jí)的網(wǎng)絡(luò)資源：

關(guān)鍵：放置所有可能危及商業(yè)交易或您的聲譽(yù)的資產(chǎn)，黑客通常有更高的動(dòng)機(jī)首先針對(duì)這些資源。

高：此等級(jí)應(yīng)包括可能妨礙日常業(yè)務(wù)運(yùn)營(yíng)的Web資產(chǎn)。

正常：此處包含其他所有內(nèi)容。

廢置：可以為不再使用的域、網(wǎng)絡(luò)、應(yīng)用程序和其他服務(wù)創(chuàng)建新的分類(lèi)并盡快將其移出業(yè)務(wù)運(yùn)營(yíng)網(wǎng)絡(luò)。

6.減少攻擊面暴露

通過(guò)減少暴露給攻擊者的面，可以最大限度地減少他們編排DDoS攻擊的范圍/選項(xiàng)。

因此，請(qǐng)保護(hù)您的關(guān)鍵資產(chǎn)、應(yīng)用程序和其他資源、端口、協(xié)議、服務(wù)器和其他入口點(diǎn)，以免直接暴露給攻擊者。

有許多策略可用于最小化攻擊面暴露：

a.您可以在網(wǎng)絡(luò)中分離和分配資產(chǎn)，使其更難成為目標(biāo)。例如，您可以將Web服務(wù)器放在公共子網(wǎng)中，但底層數(shù)據(jù)庫(kù)服務(wù)器應(yīng)位于私有子網(wǎng)中。此外您可以限制從您的Web服務(wù)器訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，而不是其他主機(jī)。

b.對(duì)于可通過(guò)Internet訪問(wèn)的站點(diǎn)，您也可以通過(guò)限制訪問(wèn)用戶(hù)所在國(guó)家/地區(qū)的流量來(lái)減少表面積。

c.利用負(fù)載均衡器保護(hù)Web服務(wù)器和計(jì)算資源免受暴露，方法是將它們置于其后。

d.通過(guò)刪除任何不相關(guān)/不相關(guān)的服務(wù)、不必要的功能、遺留系統(tǒng)/流程等，保持應(yīng)用程序/網(wǎng)站清潔，攻擊者經(jīng)常利用這些作為切入點(diǎn)。

7.強(qiáng)化網(wǎng)絡(luò)架構(gòu)

關(guān)鍵的DDoS保護(hù)最佳實(shí)踐之一是使基礎(chǔ)設(shè)施和網(wǎng)絡(luò)能夠處理任何雷鳴般的浪涌或流量突然激增。通常建議購(gòu)買(mǎi)更多帶寬作為一種選擇。然而，因?yàn)榫薮蟮某杀緦?dǎo)致這不是一個(gè)實(shí)用的解決方案。火傘云建議大家可以加入彈性的CDN服務(wù)來(lái)幫助您利用全球分散的網(wǎng)絡(luò)并構(gòu)建能夠處理突發(fā)流量高峰的冗余資源。

8.了解警告標(biāo)志

DDoS攻擊包括一些很明顯的網(wǎng)絡(luò)癥狀。比如一些常見(jiàn)的DDoS攻擊癥狀是Internet上的連接不穩(wěn)定、網(wǎng)站間歇性關(guān)閉和Internet斷開(kāi)連接。如果這些問(wèn)題比較嚴(yán)重和持續(xù)時(shí)間較長(zhǎng)，則您的網(wǎng)絡(luò)很可能受到DDoS攻擊，您必須采取適當(dāng)?shù)腄DoS攻擊防范措施。

以下是您可能受到分布式拒絕服務(wù) (DDoS) 攻擊的一些警告信號(hào)：

異常高的流量

緩慢或無(wú)響應(yīng)的網(wǎng)站

網(wǎng)絡(luò)連接問(wèn)題

不尋常的交通模式

意外的服務(wù)器錯(cuò)誤

資源使用異常激增

9.黑洞路由

黑洞路由是一種用于通過(guò)在惡意流量到達(dá)目標(biāo)網(wǎng)絡(luò)或服務(wù)器之前丟棄惡意流量來(lái)防止分布式拒絕服務(wù)（DDoS）攻擊的技術(shù)。這涉及到將路由器或交換機(jī)配置為將流量發(fā)送到一個(gè)空接口，即“黑洞”，從而有效地減少流量。黑洞路由通常用于阻止來(lái)自被識(shí)別為攻擊源的特定IP地址或子網(wǎng)的流量。

雖然黑洞路由是一種被動(dòng)措施，但它可以有效地減輕DDoS攻擊的影響。但需要注意的是，黑洞路由應(yīng)與其他主動(dòng)步驟一起使用，以防止DDoS攻擊。

10.速率限制

速率限制是一種用于通過(guò)限制發(fā)送到網(wǎng)絡(luò)或服務(wù)器的流量來(lái)防止分布式拒絕服務(wù)（DDoS）攻擊的技術(shù)。這涉及到限制在指定的時(shí)間范圍內(nèi)可以進(jìn)行的請(qǐng)求或連接的數(shù)量。

當(dāng)達(dá)到限制時(shí)，多余的流量會(huì)被丟棄或延遲。速率限制可以在各種級(jí)別上實(shí)現(xiàn)，例如在網(wǎng)絡(luò)、應(yīng)用程序或DNS層上。通過(guò)限制可以發(fā)送到網(wǎng)絡(luò)或服務(wù)器的流量，速率限制有助于防止可能導(dǎo)致DDoS攻擊的資源過(guò)載。但是謹(jǐn)慎配置速率限制以避免阻塞合法流量是很重要的。

基于地理的訪問(wèn)限制、基于信譽(yù)評(píng)分的訪問(wèn)限制等基于實(shí)時(shí)見(jiàn)解的措施在預(yù)防DDoS攻擊方面發(fā)揮了很大作用。

11.日志監(jiān)測(cè)與分析

您可能想知道如何通過(guò)日志監(jiān)控來(lái)阻止DDoS攻擊?？焖贆z測(cè)威脅是DDoS保護(hù)的最佳做法之一，因?yàn)樗鼈兲峁┝擞嘘P(guān)您的網(wǎng)絡(luò)流量的數(shù)據(jù)和統(tǒng)計(jì)數(shù)據(jù)。日志文件包含具有充足信息的數(shù)據(jù)，可有效地實(shí)時(shí)檢測(cè)威脅。使用日志分析工具檢測(cè)DDoS威脅還有其他好處，如使DDoS補(bǔ)救過(guò)程快速而簡(jiǎn)單。在列出您的網(wǎng)站時(shí)，流量統(tǒng)計(jì)數(shù)據(jù)會(huì)顯示流量激增的日期和時(shí)間，以及哪些服務(wù)器受到了攻擊的影響。

日志分析可以通過(guò)預(yù)先通知不需要的事件的狀態(tài)來(lái)減少故障排除時(shí)間，從而為您節(jié)省時(shí)間。一些智能日志管理工具還提供了快速補(bǔ)救和減輕成功DDoS攻擊造成的損害所需的信息。

12.制定DDoS抵御計(jì)劃

抵御DDoS攻擊并不會(huì)限制預(yù)防和緩解，由于DDoS攻擊旨在關(guān)閉您的完整操作，因此大多數(shù)DDoS保護(hù)技術(shù)都與打擊攻擊有關(guān)。

將災(zāi)難恢復(fù)規(guī)劃實(shí)踐作為定期運(yùn)營(yíng)維護(hù)的一部分，該計(jì)劃應(yīng)側(cè)重于技術(shù)能力和全面的計(jì)劃，該計(jì)劃概述了如何在成功的DDoS攻擊的壓力下確保業(yè)務(wù)連續(xù)性。災(zāi)難恢復(fù)站點(diǎn)必須是恢復(fù)計(jì)劃的一部分。作為臨時(shí)站點(diǎn)的DR站點(diǎn)應(yīng)具有您的數(shù)據(jù)的當(dāng)前備份。恢復(fù)計(jì)劃還應(yīng)包括關(guān)鍵細(xì)節(jié)，如恢復(fù)方法、關(guān)鍵數(shù)據(jù)備份的維護(hù)位置以及誰(shuí)負(fù)責(zé)哪些任務(wù)。

13.獲取DDoS防護(hù)工具

如今市場(chǎng)上充斥著幫助您檢測(cè)和保護(hù)關(guān)鍵網(wǎng)絡(luò)資源免受DDoS攻擊的工具。這些工具屬于不同的類(lèi)別——檢測(cè)和緩解。

攻擊檢測(cè)

無(wú)論攻擊的層次如何，緩解措施都取決于你在虛假流量激增造成嚴(yán)重破壞之前檢測(cè)到它們的能力。大多數(shù)DDoS保護(hù)工具都依賴(lài)于簽名和源詳細(xì)信息來(lái)警告您。它們依賴(lài)于達(dá)到臨界質(zhì)量的流量，這會(huì)影響服務(wù)的可用性。然而，僅檢測(cè)是不夠的，需要手動(dòng)干預(yù)來(lái)查看數(shù)據(jù)并應(yīng)用保護(hù)規(guī)則。

自動(dòng)緩解

DDoS保護(hù)是否可以自動(dòng)化？許多防DDoS解決方案基于預(yù)先配置的規(guī)則和策略來(lái)引導(dǎo)或阻止虛假流量。

雖然在應(yīng)用程序或網(wǎng)絡(luò)層上自動(dòng)過(guò)濾不良流量是可取的，但攻擊者已經(jīng)找到了擊敗這些策略的新方法，尤其是在應(yīng)用程序?qū)印?/p>

14.降低對(duì)傳統(tǒng)防火墻的依賴(lài)

盡管傳統(tǒng)防火墻具有內(nèi)置的抗DDoS功能，但它們只有一種DDoS阻止方法——不分青紅皂白的閾值做法，即在達(dá)到最大閾值限制時(shí)阻止特定端口，所以傳統(tǒng)防火墻在DDoS保護(hù)中經(jīng)常失敗。

15.部署Web應(yīng)用程序防火墻

Web應(yīng)用程序防火墻（WAF）是抵御所有DDoS攻擊的絕佳防御措施。它阻止惡意流量試圖阻止應(yīng)用程序中的漏洞?；饌阍芖AF通過(guò)安全專(zhuān)家的全天候監(jiān)控支持DDoS保護(hù)解決方案，以識(shí)別虛假流量激增并在不影響合法流量的情況下阻止它們。

您可以在互聯(lián)網(wǎng)和原始服務(wù)器之間放置WAF。WAF可以充當(dāng)反向代理，通過(guò)讓客戶(hù)端在到達(dá)服務(wù)器之前通過(guò)它們來(lái)保護(hù)服務(wù)器不被暴露。

審核編輯 黃宇