分布式拒绝服务攻击最佳实践

 

DDoS攻击极具破坏性，且数量和规模不断增加。IT服务、云计算以及软件即服务都有可能成为被攻击的目标。在这里云端卫士将会提供以及减缓和响应这个领域破坏的最佳实践。

不同类型的DDoS攻击变化显著，但是通常可以分成三个宽泛的领域：

• 容量攻击——这种攻击旨在用耗尽网络基础架构资源，通常是浪费带宽的流量或者是资源消耗型的请求。

• TCP状态表耗尽攻击——攻击者用TCP协议状态属性来攻击服务器资源、负载均衡器以及防火墙。

• 应用层攻击——这种攻击的目标是在Layer 7中应用或者服务的某些方面。

为了有效缓解DDoS威胁，单一解决方案是不够的。相反，结合不同的解决方案和方法才是最理想的。

防御分布式拒接服务攻击

通常企业应该提前为DDoS攻击做好计划。攻击后再进行响应会变得更加困难。同时DDoS攻击无法彻底阻止，而且防御的步骤远比攻击者的攻击更加复杂。

架构。加强资源对抗DDoS攻击，弹性架构极为重要。加强网络架构不仅仅是DDoS网络防御中重要步骤，也确保了业务连续性以及宕机或者灾难恢复的防护。

下面的步骤可以帮助分散的组织资产避免成为单一攻击目标：

• 将服务器部署在不同的数据中心。

• 确保数据中心处于不同的网络。

• 确保数据中心路径多样化。

• 确保数据中心或者和数据中心相连的网络没有明显的瓶颈或者单点失败。

对于依赖服务器和互联网的企业，确保资源地理上分散并且不放在单一的数据中心很重要。

如果资源在地理上已经分布，查看一下每一个数据中心都拥有多于一个管道，确保并不是所有的数据中心都连接到同一个互联网提供商。总的来说，架构优先级应该是地理分散、服务商分散和消除瓶颈。虽然这些最佳实践是针对通常的业务连续性和灾难恢复，还能够确保企业响应DDoS攻击的弹性。

硬件。部署合适的硬件可以处理已知的攻击类型，并且使用硬件中选项保护网络资源。在强调一次，加强资源不会防止DDoS攻击的发生，但这样做会减少攻击产生的影响。

此外，具体类型的DDoS攻击有时候会并存，很多网络和安全硬件可以减缓。比如很多商用网络防火墙，web应用防火墙以及负载均衡器都可以对抗layer 4攻击（也就是协议攻击）以及应用层攻击。专属DDoS减缓设备也能够防御这些攻击。

硬件升级也能有效对抗SYN攻击。大多数现代化硬件、网络防火墙、Web应用防火墙以及负载均衡器通常都有一个设定允许网络运营商一旦达到一定的阈值就结束TCP链接。

带宽。如果可以负担，增加网络带宽。对于流量型攻击，一些组织的解决方案简单地增加带宽来承受大流量。也就是说流量攻击就是成本比拼，很多企业无法或者不愿意购买带宽处理大型攻击。这对于超大型企业和服务提供商而言是首要考虑的选择。

外包，也有专门的服务提供商致力于DDoS减缓解决方案，比如中盈优创科技有限公司旗下的安全主品牌云端卫士。这种类型的服务提供商拥有云流量清洗中心，在攻击期间，这些服务能够更改流量方向，并且进行流量清洗，将合法流量回注到企业网络中。这些DDoS防御服务提供商具备可扩展的类型和动态的负载均衡，能够响应不可知的流量。

总结和前瞻

虽然DDoS攻击防护部分而言是技术问题，但更大程度上是商业问题。很多建议都是帮助确立企业弹性的简单最佳实践，包括设计弹性的架构和分布式的资源。

---

“云端卫士”是中盈优创资讯科技有限公司旗下的系列安全产品的主品牌，为客户提供全系列、一体化、可运营的安全产品，包括网络攻击追踪溯源系统、网络攻击检测分析系统、网络流量态势感知系统、安全威胁态势感知系统、安全运营支撑系统、分布式抗拒绝服务攻击系统等。