DDoS 缓解：反 DDoS 保护如何工作？

DDoS 缓解：反 DDoS 保护如何工作？

选择DDoS 缓解解决方案的第一步是评估您的风险。重要的基本问题包括：

哪些基础设施资产需要保护？

什么是软点或单点故障？

拿下他们需要什么？

您如何以及何时知道自己是目标？会不会太晚了？

延长停电的影响（财务和其他方面）是什么？

有了这些信息，就可以优先考虑您的问题，在您的安全预算框架内检查各种DDoS 缓解选项。

如果您正在运行商业网站或在线应用程序（例如，SaaS 应用程序、网上银行、电子商务），您可能需要 24×7、始终在线的保护。另一方面，大型律师事务所可能对保护其基础设施（包括电子邮件服务器、FTP 服务器和后台平台）比其网站更感兴趣。此类业务可能会选择“按需”解决方案。

第二步是选择部署方法。为整个子网中的核心基础设施服务部署按需DDoS 保护的最常见和最有效的方法是通过边界网关协议(BGP ) 路由。但是，这只能按需运行，需要您手动激活安全解决方案以防万一。

因此，如果您的Web 应用程序需要始终在线的 DDoS 保护，您应该使用 DNS 重定向通过 DDoS 保护提供商的网络（通常与内容交付网络集成）重新路由所有网站流量 (HTTP/HTTPS)， . 该解决方案的优势在于，大多数 CDN 提供了随叫随到的可扩展性以吸收容量攻击，同时最大限度地减少延迟并加速内容交付。

减轻网络层攻击

处理所需的网络层攻击需要额外的可扩展性——超出您自己的网络所能提供的。

因此，在发生攻击时，会发出BGP 公告以确保所有传入流量都通过一组清理中心进行路由。其中每一个都具有处理数百 Gbps 流量的能力。位于清理中心的强大服务器将过滤掉恶意数据包，只通过 GRE 隧道将干净的流量转发到源服务器。

这种缓解方法提供了针对直接IP 攻击的保护，并且通常与所有类型的基础设施和通信协议（例如，UDP、SMTP、FTP、VoIP）兼容。

防御NTP 放大攻击：180Gbps 和每秒 5000 万个数据包

减轻应用层攻击

应用层攻击的缓解依赖于可以按需扩展的流量分析解决方案，同时还能够区分恶意机器人和合法网站访问者。

对于流量分析，最佳实践要求基于签名和基于行为的启发式方法，结合IP 信誉评分和安全挑战（例如，JS 和 cookie 挑战）的渐进式使用。

缓解长达八天的HTTP 洪水：来自 180,000 个僵尸网络 IP 的 6.9 亿次 DDoS 请求

总之，这些可以准确地过滤掉恶意机器人流量，防止应用层攻击，而不会对您的合法访问者造成任何影响