高防CDN如何阻止DDOS攻击

发布时间:2020-07-10 06:06:50   来源:网络


保护Web应用程序和服务器基础架构免受DDoS攻击不再是具有在线状态的组织的选择。DDoS的出租服务已经有效地降低了那些有能力执行攻击的人的标准,使所有的网络实体成为潜在的目标。除了破坏现有的客户关系外还会对组织的声誉产生负面影响。广义上讲有几种方法可以阻止DDoS攻击。最常见的解决方案依赖于自己动手(DIY)方法,内部部署缓解设备和非现场云基解决方案。虽然每种方法都有其自身的优势,但它们在阻止DDoS方面的整体有效性取决于许多因素。这些包括可扩展性和过滤功能,成本和易于集成以及易用性和托管兼容性。
 
DIY保护:
 
DIY保护被广泛认为是DDoS缓解的一种薄弱方法。实际上它依赖于设置静态流量阈值(例如使用mod_evasive)和不加区分的IP黑名单规则。由于预算方面的原因很少被在线企业考虑。DIY解决方案的一个主要缺点是它们经常被用作被动措施。几乎总是在初始攻击波击中后手动调整配置。虽然这样的解决方案可能会阻止未来类似的攻击,但成功的第一波通常足以造成数小时的停机时间和其他问题。此外犯罪者可以轻松修改他们的方法从不同的来源进行攻击并使用不同的载体。这使您的组织处于防御性的位置必须重复部署额外的配置,同时尝试从多个停机事件中恢复。这可能会持续几天。然而任何DIY方法的真正问题是它总是受到网络带宽的限制,这严重限制了停止网络层DDoS攻击所需的可扩展性。由于大多数攻击的注册速度超过10Gbps,并且很少有组织拥有超过10Gbps的突发上行链路,DIY解决方案几乎总是注定要失败。
 
内部部件设备:
 
DDoS防护的内部部署方法使用部署在网络内部的硬件设备,放置在受保护的服务器前。此类设备通常具有先进的流量过滤功能,结合了地理阻止和速率限制,IP信誉和签名标识。典型的缓解设备可以有效地用于过滤恶意传入的流量。这使它们成为停止应用层攻击的可行选择。但是有几个因素使得依靠设备不可行:
 
1.可扩展性仍然是一个问题。网络的上行链路限制了硬件处理大量DDoS流量的能力,该上行链路很少超过10Gbps(突发)。
 
2.内部部署设备需要手动部署以阻止攻击。这会影响响应时间和缓解会导致组织在建立安全边界之前遭受停机。
 
3.购买安装和维护硬件的成本相对较高,特别是与较低成本和更高效的基于云的选项相比。这使得缓解设备不切实际的购买,除非组织有义务使用内部部署解决方案(例如通过行业特定的规定)。
 
在后一种情况下硬件通常是混合部署的一部分,在这种情况下基于云的解决方案可以抵御网络层攻击。
 
外部部署基于云的解决方案:
 
非现场解决方案是ISP提供的或基于云的。ISP通常只提供网络层保护,而基于云的解决方案则提供了阻止应用层攻击所需的额外过滤功能。两者都提供了几乎无限的可扩展性,因为它们部署在网络之外不受先前确定的上行链路限制的限制。一般而言非场所缓解解决方案是托管服务。他们不需要对安全人员进行任何投资,也不需要DIY解决方案和内部硬件所需的维护。与内部部署解决方案相比它们的成本效益更高,同时提供更好的防范网络和应用层威胁的保护。外部部署解决方案可作为按需服务或始终在线的服务进行部署,大多数市场领先的供应商提供这两种选择。
 
按需选项:
 
通过BGP重新路由启用按需选项可停止网络层攻击,包括直接针对原始服务器和核心网络基础设施其他组件的攻击。这些包括SYN或UDP洪水容量攻击,旨在用假数据包堵塞网络管道。
 
永远在线的选项:
 
始终开启选项通过DNS重定向启用。它会停止应用程序层攻击,试图与应用程序建立TCP连接以耗尽服务器资源。这些包括HTTP洪水DNS洪水和各种低速和慢速攻击(例如Slowloris )。
 
CDN互联DDOS保护:
 
CDN互联提供简单易用经济高效且全面的DDoS防护技术,为基于云的缓解技术推波助澜。通过按需与永远在线的解决方案相结合,全球网络提供了几乎无限的可扩展性和屡获殊荣的透明缓解过滤解决方案,CDN互联有效保护其客户免受任何类型的DDoS攻击。
 
CDN互联专业提供国内外高防cdn加速服务
 
猜你喜欢
延伸阅读: