DDoS緩解的基本工作原理和關(guān)鍵功能

什么是DDoS緩解？

DDoS 緩解是指成功保護(hù)目標(biāo)服務(wù)器或網(wǎng)絡(luò)以抵御分布式拒絕服務(wù) (DDoS) 攻擊的過程，目標(biāo)受害者可以使用專門設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備或基于云的保護(hù)服務(wù)緩解傳入的威脅。

為什么需要DDoS緩解解決方案？

由于網(wǎng)絡(luò)構(gòu)成的基本邏輯，導(dǎo)致在線破壞者在拒絕服務(wù)的策略上占據(jù)優(yōu)勢，他們可以通過讓您的業(yè)務(wù)離線幾分鐘、幾小時(shí)或幾周，來實(shí)現(xiàn)相關(guān)的攻擊操作。根據(jù)國際知名殺毒軟件卡巴斯基的相關(guān)報(bào)告，DDoS攻擊平均使企業(yè)損失超過200萬美元。

DDoS攻擊的有形成本包括

安裝應(yīng)用程序并重新運(yùn)行的成本

應(yīng)用程序不可用時(shí)客戶的收入損失

勒索，以防黑客要求

無形資產(chǎn)包括

品牌聲譽(yù)

失去客戶信任影響未來銷售

以DDoS緩解解決方案的形式添加安全控制可以降低DDoS損壞的風(fēng)險(xiǎn)。

緩解解決方案的幾個(gè)關(guān)鍵好處是：

將業(yè)務(wù)風(fēng)險(xiǎn)降至最低并減少停機(jī)時(shí)間

在不影響質(zhì)量的情況下，最大限度地降低與web安全相關(guān)的成本

保護(hù)網(wǎng)站和應(yīng)用程序性能吞吐量攻擊

基于安全規(guī)則防御現(xiàn)有和新的威脅

使用最新的安全策略防止不斷發(fā)展的攻擊

DDoS緩解如何工作？

DDoS緩解通過識別和阻止攻擊流量的來源來工作，例如使用防火墻規(guī)則或速率限制。此外，DDoS保護(hù)解決方案在攻擊流量到達(dá)受保護(hù)的網(wǎng)絡(luò)或網(wǎng)站之前吸收和過濾攻擊流量。這些解決方案通常使用流量整形、過濾和將流量重定向到清理中心，在那里分析和過濾攻擊流量。

DDoS抵御解決方案分四個(gè)階段工作：

1吸收

抵御DDoS攻擊的第一步是吸收攻擊，這樣可以保護(hù)系統(tǒng)不會(huì)停機(jī)。所以無論您選擇什么解決方案，第一要?jiǎng)?wù)是了解應(yīng)用程序每分鐘的請求和并發(fā)IP有多少，進(jìn)行多次測試是至關(guān)重要的。通常來說火傘云認(rèn)為基于云的DDoS保護(hù)解決方案更好，因?yàn)樗鼈兙哂凶詣?dòng)擴(kuò)展功能。本地服務(wù)方案由于服務(wù)器數(shù)量的限制，內(nèi)部部署解決方案顯得力不從心。

2檢測

下一步是檢測它是否是有效的DDoS攻擊，解決方案應(yīng)該能夠告訴：

URI級別有多少個(gè)請求？

來自IP的請求數(shù)量？

會(huì)話/主機(jī)級別有多少個(gè)請求？

整個(gè)域中有多少個(gè)請求？

3預(yù)防

下一步是防止攻擊傳遞到應(yīng)用程序。DDoS保護(hù)解決方案識別攻擊向量并阻止使用這些攻擊向量發(fā)出的請求，然后，該解決方案檢測各種多向量攻擊。人工智能在DDoS攻擊防范中發(fā)揮著重要作用。理想情況下，緩解解決方案應(yīng)能夠使用過去的數(shù)據(jù)并預(yù)測現(xiàn)場行為。在任何時(shí)間點(diǎn)，解決方案都應(yīng)該能夠盡可能詳細(xì)地建議和應(yīng)用“速率限制”。這些包括URI、會(huì)話/主機(jī)、IP和域速率限制。

4報(bào)復(fù)

報(bào)復(fù)是WAF供應(yīng)商提供的“托管服務(wù)”或DDoS保護(hù)服務(wù)的一大亮點(diǎn)。雖然人工智能可以建議速率限制，甚至應(yīng)用“阻止規(guī)則”，但擁有DDoS緩解解決方案將在很大程度上減少誤報(bào)。畢竟，從根本上講，DDoS攻擊看起來像是合法請求。

DDoS抵御解決方案分兩個(gè)階段工作：

監(jiān)視：托管服務(wù)團(tuán)隊(duì)監(jiān)視所有傳入警報(bào)。例如，假設(shè)通常每分鐘訪問一次的圖像文件突然每分鐘訪問100次?？偟膩碚f，在站點(diǎn)級別，它是請求的一個(gè)小增量。然而，人工智能將提醒托管服務(wù)團(tuán)隊(duì)和應(yīng)用程序所有者。

緩解：第二步是緩解。在分析了所有趨勢（包括每分鐘請求數(shù)、惡意IP等）后，解決方案提供商團(tuán)隊(duì)?wèi)?yīng)該能夠添加手術(shù)速率限制規(guī)則。還應(yīng)添加其他緩解機(jī)制，包括tarpitch、CAPTCHA等。

DDoS抵御解決方案的關(guān)鍵功能

以下是基于行為的DDoS保護(hù)的高級功能，可提供針對復(fù)雜DDoS攻擊的終極保護(hù)。

1速率限制

速率限制是DDoS攻擊緩解方法的標(biāo)準(zhǔn)功能，它使您能夠限制來自某些IP的流量。它有助于阻止應(yīng)用程序、用戶或機(jī)器人程序過度使用您的資源。??除了靜態(tài)速率限制外，解決方案還應(yīng)該能夠基于應(yīng)用程序的行為配置策略。如果出現(xiàn)異常，解決方案應(yīng)該能夠觸發(fā)警報(bào)。

2顆粒水平控制

DDoS緩解解決方案使您能夠添加細(xì)粒度配置，以使用自定義策略防止攻擊。用戶可以基于Geo、URI、IP標(biāo)頭以及源和目標(biāo)IP定義策略。理想情況下，這些策略的閾值應(yīng)通過基于行為的流量分析自動(dòng)配置。也就是說，營銷活動(dòng)可能會(huì)產(chǎn)生突發(fā)請求，利用托管服務(wù)團(tuán)隊(duì)進(jìn)行DDoS保護(hù)將有助于減少誤報(bào)。

3全球控制

IP白名單和黑名單在管理內(nèi)部服務(wù)器請求和來自實(shí)際用戶的請求方面發(fā)揮著關(guān)鍵作用。

將特定IP地址或國家/地區(qū)列入黑名單和白名單非常重要，原因如下：

您不希望應(yīng)用程序的某些部分在特定國家/地區(qū)工作

您不想使應(yīng)用程序的某些部分可供公眾訪問

您希望允許優(yōu)秀的機(jī)器人程序訪問您的應(yīng)用程序

您有向生產(chǎn)服務(wù)器發(fā)出異常高請求的內(nèi)部服務(wù)器；它們既不應(yīng)被WAF阻止，也不應(yīng)改變行為DDoS速率限制策略

鑒于要管理的IP列表，安全管理員管理每個(gè)應(yīng)用程序的多個(gè)文件中的黑名單和白名單記錄變得很有挑戰(zhàn)性。使用全局控制，用戶可以在單個(gè)儀表板中查看所有黑名單/白名單IP或國家/地區(qū)的狀態(tài)，并修改相同的狀態(tài)。火傘云也更進(jìn)一步；它允許您在所有應(yīng)用程序中批量輸入IP地址/國家/地區(qū)到黑名單/白名單，而不是需要您挨個(gè)進(jìn)行自定義輸入。它還允許您覆蓋這些全局規(guī)則，并為特定應(yīng)用程序修改一些規(guī)則。

不僅僅是IP，而是IP范圍。在火傘云DDOS解決方案中，您甚至不必單獨(dú)輸入所有IP地址；如果您有一組需要列入黑名單/白名單的IP地址，您可以通過簡單地提及它們來輸入這樣的IP地址系列。

例如，192.168.1.1/24將阻止192.168.3.1、192.168.2.2、192.188.1.3….到192.1680.124的所有IP地址，從上述選擇中沒有規(guī)則將應(yīng)用于IP 192.1681.25。

不僅如此，火傘云還允許安全管理員審查所有黑名單和白名單操作，并幫助調(diào)試任何安全漏洞。

4自動(dòng)擴(kuò)展性

大多數(shù)DDoS攻擊都會(huì)創(chuàng)建大量流量來耗盡資源容量。有時(shí)，當(dāng)流量和網(wǎng)絡(luò)規(guī)模擴(kuò)大時(shí)，預(yù)防就失去了控制。因此，緩解過程失敗。DDoS保護(hù)解決方案利用了高度可擴(kuò)展的基礎(chǔ)架構(gòu)。這樣他們就可以根據(jù)必須處理的數(shù)據(jù)量增加流量。

例如，火傘云旨在吸收最大的DDoS攻擊。它利用華為云的DDOS基礎(chǔ)架構(gòu)來阻止大型攻擊流量。在啟用自動(dòng)縮放的同時(shí)，我們評估了10000個(gè)并發(fā)IP中高達(dá)2.3 TBps的DDoS攻擊。

5監(jiān)控和警報(bào)

DDoS緩解解決方案應(yīng)能夠持續(xù)監(jiān)控以您的資源為目標(biāo)的潛在攻擊，并能夠向應(yīng)用程序所有者/或托管服務(wù)團(tuán)隊(duì)發(fā)送實(shí)時(shí)警報(bào)，以監(jiān)視攻擊，并在需要時(shí)采取任何糾正措施。警報(bào)可以突出顯示被攻擊的域、攻擊的協(xié)議、會(huì)話詳細(xì)信息、用戶代理、地理位置、IP以及有助于區(qū)分有效請求和無效請求的任何其他信息，此功能大大減少了檢測和阻止DDoS攻擊所需的時(shí)間。

6內(nèi)容交付網(wǎng)絡(luò)

DDoS保護(hù)服務(wù)可以通過啟用CDN來減輕源服務(wù)器的負(fù)載。當(dāng)接收到請求時(shí)，CDN服務(wù)器將使用所請求頁面的緩存版本進(jìn)行響應(yīng)。在DDoS攻擊的情況下，CDN可以通過將攻擊流量重定向到多個(gè)服務(wù)器來吸收和分發(fā)攻擊流量，這有助于防止攻擊流量壓倒源服務(wù)器并導(dǎo)致網(wǎng)站不可用。DDoS解決方案在保護(hù)源服務(wù)器的同時(shí)保護(hù)和加速站點(diǎn)的性能。

7BOT保護(hù)

黑客通常創(chuàng)建機(jī)器人軍隊(duì)來發(fā)起DDoS攻擊，高級DDoS保護(hù)的多層架構(gòu)配備了機(jī)器人程序保護(hù)策略。?現(xiàn)如今，機(jī)器人正在使用狡猾的技術(shù)偽裝成正常機(jī)器人（比如百度或谷歌機(jī)器人），因?yàn)楹诳椭纀aidubot/Googlebot是一個(gè)所有企業(yè)都會(huì)被列入白名單的機(jī)器人。

例如，BOT偽裝者策略有助于檢測和阻止假裝是有用的機(jī)器人的惡意機(jī)器人。

8更廣泛的可見性

DDoS保護(hù)不僅僅用于阻止攻擊。該解決方案必須為用戶提供有關(guān)攻擊的重要見解和分析。您可以查看按IP和URL分類的攻擊統(tǒng)計(jì)信息。

緩解報(bào)告包括流量統(tǒng)計(jì)、前5名IP、前5個(gè)國家和前5個(gè)URI。深度可見性簡化了取證，并確保準(zhǔn)確的DDoS抵御。