网络流量数据是防护DDoS攻击的关键。大多数人可能将DDoS攻击仅视为安全问题。但现实情况是,网络运营团队在安全团队看到攻击本身之前就已经看到流量异常。如今,攻击者正在增加其目标多样性和复杂性,同时攻击流量会同时跨越数据,应用程序和基础架构,以增加成功的机会。 一般是如何防护DDoS攻击? 典型的DDoS防御模型利用带外设备,即网络运营商在其网络运营中心(NOC)或DC中安装的设备。这些设备检测网络流数据,边缘路由器的网络元数据和边界网关协议(BGP)数据中的异常。然后,该设备向网络发出信号,以在网络边缘丢弃流量或将流量重定向到本地DDoS清理设备。 有时,流量还会通过第三方云缓解服务传递,随着时间的流逝,缓解设备只需要缓解总流量的一小部分。仅在发生攻击时才有选择地将流量推送到缓解设备,以使该解决方案的成本效益最大化。这种方法在纸面上是有意义的,但是所有基于此类设备的防护DDoS解决方案固有的缺点是它们的检测精度很低。 结果,工程师们陷入了使用盲目人工干预处理不准确警报的困境。这意味着他们要花更多时间对网络设备进行配置更改或重新路由流量,而不是专注于关键任务。而且,这些干预措施通常不会带来积极的结果。为了采用更准确的缓解方法,公司需要一种能够实时监控大量网络流量的解决方案。 公司如何建立更好地缓解流程?公司可以通过多种方式开始将DDoS攻击视为网络问题。它们包括: 1、基于云的DDoS防御服务 基于云的DDoS防御服务可以检测和缓解攻击,而无需受攻击的网络部署本地资源。大多数云DDoS防御服务不提供检测服务;而是由客户自行决定在发生攻击时重新路由流量。或者,公司可以使用“始终在线”服务来清理流量并将其返回给相关公司。基于云的服务比内联方法便宜一些,但价格却不高。 2、路由技术:远程触发黑洞(RTBH) 流量黑洞是通过更改路由参数在网络边缘丢弃流量来实现的DDoS缓解形式。黑洞的最常见形式是基于目标的远程触发黑洞(RTBH)。这种方法将攻击流量重新路由到不存在的目的地(黑洞),其缺点是合法流量也可能丢失。BGP Flowspec通过仅阻止攻击流量并允许合法流量通过对这种方法进行了改进。但是,Flowspec可能是要部署的复杂协议。 3、串联设备缓解 此方法通过一个或多个支持深度数据包检查的DDoS保护设备发送所有流量。如果设备确定要攻击的特定流量或数据包,则将其丢弃并允许合法流量通过。此方法对于更复杂的攻击类型以及非常快速的检测和缓解很有用。但是,这是一种昂贵的方法,无法扩展到大型网络。 4、混合防护DDoS方式 这种方法可从本地设备获得最快的响应,由本地缓解设备和基于云的缓解服务组合而成,可以使用基于云的缓解服务将其扩展到防护非常大的攻击。 5、监控,检测,缓解 在可预见的将来,许多企业员工正在采用在家工作的模式。这种安排将创建一个分布式网络,该网络的端点安全性较低,并且需要监视大量第三方平台集成。结果,DDoS攻击正变得越来越重要。为了减轻DDoS攻击,公司必须将其视为安全问题而不是网络可靠性问题。遭到大流量攻击就必须通过专业的网络安全公司来进行防御了。企业可以通过配置高防IP,让所有的访问先经过高防IP,如果有DDOS/CC攻击,都会自动识别清洗,将正常流量转发到源服务器,保障服务器稳定运行。 为了保障服务器的稳定运行,一定要提早选择合适的防护DDoS产品,目前互联网环境越来越复杂,网络攻击变得越来越频繁,对各大互联网企业造成的影响和损失也越来越大,不要等到服务器崩溃再想办法,到时的损失就无法弥补了。
|