5个DDos缓解的最佳实践

DDOS攻击可能是毁灭性的。以下是用于减轻DDOS安全风险的五项措施。 

 By 保罗·鲁布森
Page of   |  返回第1页

您的电子商务网站刚刚下降,网络磨损停止。您的公司即将体验一个DDOS攻击,最终会降低销售损失数百万。那’除非您已经采取了措施减轻DDOS攻击的风险,否则您可以一旦出现攻击的第一个迹象,就可以在适当的计划中进行计划。

什么是DDOS攻击?

一个ddos.—或分布式拒绝服务—攻击是一种非常基本的网络攻击形式,但它的效果可能是毁灭性的。本质上,它涉及组织来自众多来源的大量数据流量,以在您的计算机系统上收敛,防止合法的流量(例如寻求购买的客户)到达您。 73%的所有攻击持续一个小时, 根据CloudFlare,虽然近9%以上超过24小时。

攻击分发的事实,这意味着它来自许多不同的来源,例如是僵尸网络的一部分的僵尸计算机,使网络安全系统很难追踪并停止它。而且由于某些攻击使用放大技术(更稍后更多),攻击者可以使用相对较小的流量来攻击具有更大卷的系统。  

还阅读: 了解网络安全的零信任方法

DDOS攻击的类型

在最高级别,有三种形式的DDOS攻击。这些是:

  • 体积攻击 –这些依赖于击中您的网络的纯粹的流量将其带到静止状态
  • 协议攻击 –这些使用恶意连接请求和类似的技术,用于在防火墙上使用所有资源,负载均衡器和服务器
  • 应用程序级攻击 –这些使用技术,例如打开大量连接和启动请求,并启动在Web服务器上使用所有可用的磁盘空间或内存。

DNS放大攻击是一种形式的体积攻击。这涉及使用欺骗源IP地址查询DNS服务器–您的IP地址。自DNS服务器以来’回复包含比原始请求更多的数据,攻击是“amplified”,此放大的流量被发送到您的网络以压倒它。 

SYN泛滥是一种非常简单的协议攻击形式。它通过向Web服务器发送SYN请求,但在发送SYN-ACK响应之后,使用ACK的三向握手从未完成。这意味着服务器经历了快速越来越多的半打开连接,直到它被淹没并且(可能)崩溃。 SYN泛滥攻击是最常见的形式或DDOS攻击,据 比赛

还有许多其他类型的DDOS攻击,名称,如死亡,SMURF攻击,瘦患者和碎片攻击。每个人都是不同的手段—将您的系统带到静止状态,以便合法流量无法与您的网络进行互动。

还阅读: 以网络安全为统一的威胁管理方法

5种方法来缓解DDOS攻击

每天都记录成千上万的DDOS攻击。从2020年的证据 shows 攻击规模越来越大,频率和持续时间。那么你能做什么来减轻DDOS攻击的威胁?以下是您应确保您到位的五项措施:

设计弹性架构

要追求的一个关键网络安全策略是确保您的IT基础架构并未’T有一个失败的失败,DDOS攻击可以利用。在实践中,这意味着确保您有地理和服务提供商多样性:在不同地理区域的不同数据中心定位服务器,并确保这些数据中心位于不同的网络上并具有多样化的路径。 

这似乎不必要地复杂或昂贵,但这种方法的额外好处是,这也是业务连续性和灾难恢复目的的最佳实践。 

利用所有可用的技术措施

确保您已配置网络硬件以利用它们随附的任何反DDOS网络安全功能。例如,许多商业上可获得的网络防火墙,Web应用程序防火墙和负载均衡器可以防御协议攻击和应用层攻击(例如Slosloris)。 大多数情况下也有设置,允许您开始关闭TCP连接一旦达到某个阈值,这可能是保护SYN洪泛攻击的有效方法。 

如果您发现自己受到攻击,有许多对策您可以采取更多时间购买一些时间,具体取决于您正在遇到的攻击类型。这些包括限制路由器以防止Web服务器越来越多地添加过滤器,以使防火墙从已知的攻击源中删除数据包更加积极地超出半开立,以及设置较低的SYN,ICMP和UDP泛滥阈值。

您还应该考虑部署在主要防火墙前部署的反DDOS网络安全设备,以尝试在开始影响您的操作之前检测和阻止某些DDOS攻击。即使反DDOS设备无法防止成功的攻击,也可能发现攻击正在开发的一些讲话标志,允许您提前采取措施来抵消它。

知道如何发现攻击

防DDOS设备可以提供帮助,您可以更好地检测攻击。典型的警告标志包括网络放缓,间歇性网站和Intranet问题,网络性能差。 

It’对于熟悉您典型的入境流量配置文件的好主意,因为您了解正常流量的看起来越多,它更容易发现它的配置文件发生变化。您还应该了解可能更改传入流量配置文件的任何业务活动。 

那’因为许多DDOS攻击都以尖锐的流量开始,所以你需要能够讲述合法访客突然激增之间的差异(可能是由于促销或其他一些业务活动)和DDOS攻击的开始。

确保您有足够的带宽

DDOS攻击可以扩展到大量的数据:亚马逊持续了一个 2.3 Tbps DDOS攻击 去年,而Github经历过 1.34 Tbps攻击 2018年。这意味着尝试击败所有与带宽的DDOS攻击是不切实际的。 

但是,确保您有足够的带宽对您的网络仍然是一个很好的网络安全措施,因为它可以从点检测到DDOS攻击到系统变得无法使用的点时获得额外的时间,并且您可以使用那个时间来减轻时间攻击。 

有充足的带宽可用—永久或作为突发容量—无论如何,这是一个好主意,帮助您处理交通或对您服务非常高的需求的尖峰。

有一个计划

在检测到DDOS攻击后,您应该解决DDOS攻击的最重要措施之一是减轻DDOS攻击的响应计划或播放簿。这应包括ISP,托管提供商或DDOS缓解服务的联系方式,以便您可以快速增加带宽或其他资源,转移您的流量,或采取任何其他响应措施。

处理大型DDOS攻击的最有效方法之一是将流量(使用DNS甚至BGP更改)转移到庞大的基于云的DDOS缓解服务之一,例如由此操作的DDOS缓解服务 Akamai., 云Flare., AWS., 和 neustar., 哪个行“scrub”巨大的DDOS流量,使恶意流量倾倒,而合法流量允许到您的网络。 

阅读下一个: 保护边缘网络的最佳实践

本文最初发布于2021年3月19日
通过网络更新通讯获取最新的勺子