如何預防ddos攻擊

攻擊與防禦本來就是一場博弈，知己知彼百戰不殆。根據知名的網絡安全和應用交付解決方案提供商Radware公司的2018-2019的 ERT 報告中顯示：過去一年，多數企業都遭受過某種類型的攻擊，只有7%的受訪者表示從未遭受過攻擊。21%的受訪者稱每天都會遭到攻擊，相對去年的13%有了明顯增多。網絡攻擊不僅變得越來越頻繁，危害也愈加嚴重：在遭到網絡攻擊的受訪者中，78%的受訪者都遭遇了服務降級或完全宕機，而在去年這一比例爲68%。

面對如此嚴峻的數據，我們必須學會DDoS防禦的各種技能，今天就給大家分享一下其中必須具備的五大功能：

第一個：應用層 DDoS 保護

應用層DDoS 攻擊已經超過網絡層攻擊，成爲最廣泛的攻擊媒介。Radware報告指出攻擊網絡和數據中心時，黑客越來越多地採用了新興攻擊矢量：遭受HTTPS加密洪水攻擊的受訪者從28%增加到了34%，遭受DNS攻擊的受訪者從33%增加到了38%，遭受脈衝式攻擊的受訪者從42%增加到了49%，遭受機器人程序攻擊的受訪者從69%增加到了76%。其中應用層攻擊危害最大。三分之二的受訪者都遭受過應用層DoS攻擊，34%的受訪者預計應用漏洞將是未來一年的一大擔憂。許多在線安全服務通過其 WAF 承諾提供應用層DDoS 保護。但是這通常需要在 DDoS 保護機制之上額外支付昂貴的附加 WAF 服務。

這些趨勢意味着，現代 DDoS 保護若僅僅針對網絡層 DDoS 攻擊進行保護已不再足夠；必須包括針對應用層攻擊的內置防禦，以便企業級在線業務得到充分保護。

第二個：SSL DDoS 防洪

加密流量現在佔據了大部分互聯網流量。根據Mozilla的Let's Encrypt項目，全球超過 70%的網站都是通過 HTTPS 提供的，其中一些市場如美國和德國實現了更高的價格。隨着越來越多的流量被加密，SSL DDoS洪水正成爲黑客越來越受歡迎的攻擊媒介。這些發現反映在Radware的最新 ERT 報告中，96%的企業現在在某種程度上使用 SSL，60%的企業證明其大部分流量都是加密的。然而這種上升也帶來了重大的安全挑戰：加密請求可能需要比常規請求多 15 倍的服務器資源。這意味着即使只有少量流量，嫺熟的攻擊者也可以通過大量消耗服務器資源來削弱你的網站可用性。

第三個：零日保護

攻擊者不斷尋找繞過傳統安全機制的新方法，並使用前所未有的攻擊方法攻擊企業。即使通過對攻擊簽名進行小的更改，黑客也可以製作手動簽名無法識別的攻擊。此類攻擊通常被稱爲 “零日攻擊”。例如，一種常見的零日攻擊類型是突發 DDoS 攻擊，它在切換到不同的攻擊向量之前使用短突發的高容量攻擊。這些攻擊通常結合了許多不同的攻擊媒介，使依賴傳統的、手動調整的安全解決方案的企業無計可施。

另一種零日攻擊是放大攻擊。放大攻擊通常採用通信協議，其中請求和響應分組大小之間存在大的不對稱性。此類攻擊會從沒有參與攻擊的第三方服務器上反彈流量，從而放大流量並壓倒目標。根據Radware報告，49%的企業遭受了突發攻擊，40%的企業報告出現了 DDoS 放大攻擊。這些趨勢表明，現代 DDoS 保護機制需要零日保護功能。

第四個：行爲保護

隨着 DDoS 攻擊變得越來越複雜，區分合法和惡意流量變得越來越困難。對於模仿合法用戶行爲的應用層DDoS 攻擊尤其如此。

許多安全供應商的一種常見機制是基於流量閾值檢測攻擊，並使用速率限制來限制流量峯值。但是，這是阻止攻擊的一種非常粗暴的方式，因爲它不區分合法和惡意流量。在活動激增期間（例如準備來臨的剁手節），當流量顯着增加時，這尤其成爲一個問題。諸如速率限制之類的不成熟的保護機制不會區分合法和攻擊流量，並最終阻止有效用戶。

所以這是需要一種更有效的檢測和阻止攻擊的方法：使用行爲技術來了解構成正常用戶行爲的內容，並阻止所有不符合此行爲的流量。這不僅提供了更高級別的保護，而且還可以減少誤報，並且在流量高峯時不會阻止合法用戶。因此使用基於行爲檢測的DDoS防禦是有效 DDoS保護的必備條件。

第五個：詳細的SLA

在和安全提供商簽訂的服務水平協議（SLA）是他們爲你提供的合同保證。許多安全供應商對其功能做出了廣泛的營銷聲明，但一旦涉及對這些聲明做出實際承諾，他們的主張就會變得空洞。爲了確保宣傳所說的內容是真實存在的，我們需要安全供應商將資金放在嘴邊，並提供詳細的SLA，以及對檢測、緩解和可用性指標的具體承諾。SLA應涵蓋整個DDoS攻擊生命週期，以確保完全覆蓋每個方案。

所以說SLA可以說是和網絡安全是等同的，如果安全提供商未能提供此類承諾，其實我們可以就此對他的服務器和技術產生一定的質疑。