2019年，超過80%的公司遭受至少一種DDoS攻擊。這不再是是否要解決的問題，而是何時組織您將受到DDoS攻擊。

　　公司如何實施有效的策略來防御DDoS攻擊?讓我們來看看。

　　減輕DDoS攻擊的最佳做法

　　對于每個企業(yè)而言，都有某種防范大型DDoS攻擊的保護很重要。許多經(jīng)典形式的DDoS保護都無法對數(shù)據(jù)沖擊采取細(xì)微差別的方法。他們沒有將合法數(shù)據(jù)與惡意數(shù)據(jù)分開，而是簡單地不加選擇地丟棄了所有傳入數(shù)據(jù)但是，并非每種類型的DDoS保護都對每種攻擊都有效?；诹髁康谋O(jiān)視對于批量攻擊有效，而對于網(wǎng)絡(luò)協(xié)議和應(yīng)用程序攻擊則不太有效。另一方面，數(shù)據(jù)包分析對這三個都有效。您的ISP或云提供商提供的DDoS保護不太可能提供您需要的全面防御系統(tǒng)。他們有興趣保護自己的基礎(chǔ)設(shè)施。您有興趣保護您的應(yīng)用程序和網(wǎng)絡(luò)。因此，您不應(yīng)該完全依靠它們來提供全面的DDoS保護。

　　一、DDoS保護的四個要求

　　現(xiàn)代的DDoS防御應(yīng)包括四個關(guān)鍵要求：

　　精度：對于公司來說，實施精確的DDoS防御系統(tǒng)至關(guān)重要。與更鈍的防御系統(tǒng)(例如遠(yuǎn)程觸發(fā)黑洞過濾或RTBH)不同，精確的保護解決方案可以查明威脅并相應(yīng)地減輕威脅。這有助于避免代價高昂的錯誤(例如誤報或否定)，這些錯誤可能會阻止合法用戶或?qū)е侣﹫蟆?/p>

　　可擴展性：最大的DDoS攻擊在2018年3月達到了每秒1.35兆比特。鑒于當(dāng)今DDoS攻擊的絕對規(guī)模，對DDoS防護系統(tǒng)的深度，廣度和高度進行擴展比以往任何時候都更為重要。根據(jù)數(shù)據(jù)包速率，攻擊機器人的數(shù)量和攻擊的比特率，無法擴展的系統(tǒng)可能被證明是不夠的。

　　戰(zhàn)時響應(yīng)效率：自動化的DDoS防御系統(tǒng)可以消除對昂貴且耗時的手動干預(yù)的需求。它應(yīng)該自動檢測，緩解，報告DDoS攻擊并從中學(xué)習(xí)。在多媒介攻擊(同時使用多種技術(shù)和方法)的情況下尤其如此。

　　可承受性：公司可以使用更小，更高效和更實惠的DDoS保護系統(tǒng)在不犧牲性能的情況下保持低成本。這減少了所需的設(shè)備數(shù)量，降低了成本并減少了機架空間，從而節(jié)省了時間和金錢。

　　二、DDoS保護的現(xiàn)代方法

　　多向量DDoS攻擊的頻率呈指數(shù)增長。IDG的DDoS策略研究表明，UDP洪水攻擊占所有攻擊的20%。按層分類：

　　29%的攻擊發(fā)生在網(wǎng)絡(luò)層

　　在應(yīng)用層占25%

　　在網(wǎng)絡(luò)層占25%

　　基礎(chǔ)設(shè)施服務(wù)占21%

　　黑客正在對單一目標(biāo)使用多種類型的攻擊。對于現(xiàn)代DDoS防護解決方案而言，擁有四個關(guān)鍵要求中的每一個都比以往任何時候都更為重要：精度，可伸縮性，戰(zhàn)時響應(yīng)效率和可承受性。如果不全面，則有效的DDoS防護策略將不足。公司應(yīng)優(yōu)先考慮多層混合解決方案，該解決方案可以提供持續(xù)保護，免受任何類型的DDoS攻擊。

　　一種現(xiàn)代化的，從上到下的DDoS保護方法使用多種工具并實現(xiàn)多個目標(biāo)：

　　分層的深度檢測：使用具有成本效益的反應(yīng)模式和分層的數(shù)據(jù)包檢測。

　　帶有機器學(xué)習(xí)功能的智能自動化：無需人工干預(yù)。

　　通過單獨的策略可擴展到100K受監(jiān)視實體：提供有利可圖的清潔管道服務(wù)。

　　克服組織孤島問題：允許組織利用公共資源和人才。

　　公司通常實施三種部署模式之一。

　　主動式：主動式部署模式始終會監(jiān)視傳入流量并對其進行檢測和緩解。因此，這是企業(yè)將基于數(shù)據(jù)包的檢測和緩解設(shè)備放置在網(wǎng)絡(luò)邊緣的一種極其有效的方法。

　　反應(yīng)：為了得到充分掌握網(wǎng)絡(luò)的流量的反應(yīng)性的部署模式使用基于流的數(shù)據(jù)。它的工作原理是將特定的流量路由到緩解器，將其清除干凈，然后將其重定向回網(wǎng)絡(luò)。此模式是ISP或云提供商最常提供的一種模式。

　　混合：混合部署模式使用按需云緩解功能來應(yīng)對容量攻擊，以及基于行和本地數(shù)據(jù)包的解決方案，這些解決方案旨在檢測和緩解DDoS攻擊的三種主要類型：容量，網(wǎng)絡(luò)協(xié)議和應(yīng)用。

　　為了從DDoS保護的現(xiàn)代方法中受益并充分防御多矢量攻擊，通常建議組織采用混合部署模式。

　　DDoS云清理

　　公司還需要尋找提供DDoS云清理的解決方案。這需要在攻擊過程中使用云服務(wù)來轉(zhuǎn)移組織數(shù)據(jù)中心的流量。然后，云清理服務(wù)將消除惡意流量，然后再通過ISP將合法流量發(fā)送回其正常路徑。

　　DDoS威脅情報

　　威脅情報是DDoS防御策略的另一個重要方面。沒有它，公司將被迫使用猜測和盲目緩解來抵御攻擊。借助威脅情報，組織可以在攻擊網(wǎng)絡(luò)之前識別出各種常見威脅。

　　公司努力從不完整和過時的威脅情報數(shù)據(jù)中找到重要的見解。對于公司而言，至關(guān)重要的是，它需要實時獲取可操作的威脅情報數(shù)據(jù)，以主動監(jiān)視對象(例如僵尸網(wǎng)絡(luò)，反射攻擊代理的IP地址等)。

　　正確的DDoS防御工具

　　公司不應(yīng)低估尋找合適的DDoS防御工具的重要性。組織必須首先了解哪種類型的攻擊最常見，哪些正在流行。放大攻擊是目前最常見的攻擊，緊隨其后的是有狀態(tài)的洪水，洪水通常是由僵尸網(wǎng)絡(luò)發(fā)起的。這包括IoT僵尸網(wǎng)絡(luò)，例如Mirai攻擊中使用的僵尸網(wǎng)絡(luò)。

　　總而言之，歸功于以下各項的存在，將技術(shù)與流程融為一體的全面DDoS解決方案將獲得成功：

　　專用的本地設(shè)備可以保持24/7警惕。

　　可以對任何類型的攻擊做出反應(yīng)并作出反應(yīng)的專業(yè)事故團隊。

　　云可以用作轉(zhuǎn)移流量的目的地。

　　DDoS防御的六個步驟

　　在DDoS攻擊期間，有效的防御措施包括：

　　本地設(shè)備會自動檢測攻擊并激活緩解程序。

　　當(dāng)攻擊升級到一定級別時，事件響應(yīng)團隊會自動收到警報，而無法成功緩解。

　　事件響應(yīng)團隊通過核實發(fā)生了真正的攻擊(而不是誤報)，分析攻擊，提供緩解指導(dǎo)并在需要時建議云層擺動來參與進來。

　　轉(zhuǎn)移信號以及有關(guān)攻擊的詳細(xì)信息會發(fā)送到云中。

　　云團隊通常使用邊界網(wǎng)關(guān)協(xié)議(BGP)或域名系統(tǒng)(DNS)將流量轉(zhuǎn)移進行清理。

　　攻擊結(jié)束后，流量將通過ISP恢復(fù)到其正常路徑。