“DDoS保护?”我们听到你说。“我每个月支付巨额托管账单不是包括在内吗?”还是“为什么我要支付这些庞大的IT部门帐单和工资?
好吧,但是,真正的黑客和攻击者比以往任何时候都更加复杂,与现在普遍使用的DDoS攻击类型和规模相比,要比传统的“传统”数据中心流量清理方法更为复杂。
打击DDoS攻击的难点
平均DDoS现在达到近7Gbps,持续6到24小时,数量和持续时间很少的服务提供商或IT部门可以处理。而在这篇文章中,历史上“最大的”容量的DDoS在带宽方面达到了600Gbps – 几乎不可能理解。此外,更先进的协议和七级攻击正在变得越来越普遍,更难以防御,您的每月支出并不会为您提供所需的全面保护。
你不应该说服自己,技术将最终赶上坏家伙,使DDoSing成为过去的事情。每年不仅攻击规模越来越大,而且有恶意攻击的人(无论出于什么原因)都可以轻易地找到大量在线黑客,他们愿意为不到200美元的DDoS启动DDoS。
在现代环境中消除DDoS攻击是非常困难的,因此可能花费数十万美元购买所有必要的硬件,软件和网络设备,并且不计算高薪专家和有经验的IT人员熟悉有效的DDoS缓解技术。
实际上,经营自己的数据中心的大型公司在理论上可以证明这些类型的成本是合理的。毕竟研究表明,平均DDoS攻击通常会造成大公司的收入损失大于50万美元,更不用说客户信任造成长期的损害,IT顾问和律师的辅助费用以及公司可能的妥协或损失和客户端数据。
然而,解决问题的方式更有效率和成本效益:将您自己的内部或ISP的DDoS预防和监控技术与远程网络DDoS保护相结合,由经验丰富的专业人士提供。
远程网络DDoS防护如何工作
远程DDoS保护通过在服务器的入站流量和网络基础架构之间拥有“保护性中间人”。在DDoS攻击的第一个迹象上,所有流量都转移到云端的远程计算机,作为“中间人”,远离服务器及其网络。流量被分析,分类和刷新,然后合法的访问者被发送回服务器进行网站访问,而恶意流量不允许在您的基础设施附近任何地方。该过程是闪电般的,所以“干净”流量没有明显的滞后,没有服务中断或服务器停机。
同样令人印象深刻的是,这是一个能够提供长期保护的智能系统。智能擦洗软件可以实时了解流量,建立新的IP禁止和规则集,以永久拒绝访问恶意流量。它还保护所有客户端免受任何客户端在DDoS攻击下面临的不良流量。如果系统由像Sharktech这样的顶级人员来运行,则实施定制解决方案,以防止大多数DDoS保护方案无法处理的零日攻击。
擦洗可以配置为始终打开,只会转移可疑的流量,或者只是在实际攻击开始时踢。这允许每个客户端决定是否需要主动和持续的远程DDoS远程保护(这自然是更昂贵的),或者只是想要在攻击开始时利用该服务。定价是根据客户需求确定的,但最好的远程网络DDoS保护服务收取统一费率,而不是按每次攻击的大小或持续时间进行计费。一旦系统参与,它就可以在需要时尽快转移和清理流量。
任何解决方案的有效性在很大程度上取决于其使用最先进的技术,远程网络DDoS保护方法依赖于最先进的BGP,GRE和Anycast系统。
- BGP(边界网关协议)是一种处理互联网路由的动态协议,通常用于帮助通过网络主干直接从源到目的地的最有效的路径。当攻击开始时,它能够立即宣告将DDoS目标的所有流量转移到云洗涤中心,因此所有进入的流量可以在发送到目的地之前被清除。
- Anycast是允许多个服务器共享相同IP地址的系统,并且广泛用于允许在多个位置使用数据中心。通过均匀分配流量来吸收DDoS攻击的初始化,然后确保DDoS流量全部发送到擦洗中心也是有效的。
- GRE(遗传路由封装)隧道是两个网络之间点对点流量传输的方法,无论它们是否使用兼容协议。换句话说,它们是将刷新的流量从云端路由到任何目标服务器的最快方式,因此网站用户没有明显的滞后时间。
DDoS保护协调策略
使用远程DDoS网络保护不是防止和减轻DDoS攻击的“一站式”。您的ISP或数据中心必须通过定期安装修补程序和升级,正确配置防火墙,负载平衡器和其他保护工具,关闭所有明显的网络漏洞(例如,阻止ICMP,拒绝UDP端口53数据包和丢弃垃圾包),以及不断监控可疑流量行为的网络流量,无论是由技术人员完成还是自动化解决方案。
但是当时间到来(不幸的是几乎是不可避免的),您的目标是远程DDoS网络保护是一个关键的缓解工具,以确保您的网络保持可用。
如果您的ISP或数据中心当前没有使用远程DDoS保护,那么它应该是。我们将看看如何在最后一期中实现。