知识库 - Part 20

常见的DDoS攻击有哪些类型？

什么是常见类型的DDoS攻击？

不同的DDoS攻击向量针对网络连接的不同组件。为了了解DDoS攻击是如何工作的，有必要了解如何进行网络连接。互联网上的网络连接由许多不同的组件或“层”组成。就像从头开始建房子一样，模型中的每一步都有不同的目的。以下所示的 OSI模型是用于描述7个不同层中的网络连接的概念框架。

虽然几乎所有的DDoS攻击都涉及到具有流量的目标设备或网络压倒一切，但是攻击可以分为三类。攻击者可以利用一个或多个不同的攻击向量，或者潜在地基于目标采取的对策来循环攻击向量。

应用层攻击

攻击目标：

有时被称为第7层DDoS攻击（参考OSI模型的第7层），这些攻击的目标是耗尽目标资源。这些攻击的目标是在服务器上生成网页并传递 HTTP请求的层。单个HTTP请求在客户端方便执行，并且由于服务器通常必须加载多个文件并运行数据库查询才能创建网页，因此目标服务器可能需要响应。第7层攻击难以保护，因为流量可能难以标记为恶意。

HTTP Flood攻击

这种攻击类似于在许多不同的计算机上一次又一次地在网络浏览器中重新刷新 – 大量的HTTP请求使服务器泛滥，导致拒绝服务。

这种攻击范围从简单到复杂。更简单的实现可以访问具有相同范围的攻击IP地址，引荐来源和用户代理的一个URL。复杂版本可能使用大量攻击IP地址，并使用随机引用和用户代理来定位随机URL。

协议攻击

攻击目标：

协议攻击也称为耗尽国家的攻击，通过消耗Web应用程序服务器或中间资源（如防火墙和负载平衡器）的所有可用状态表容量来导致服务中断。协议攻击利用协议栈第3层和第4层的缺点，使目标无法访问。

协议攻击范例：

SYN Flood攻击

SYN Flood攻击类似于供应室中的一名工作人员，接收来自商店前面的请求。工作人员收到请求，取出包装，并在将包装送到前面等待确认。然后，工作人员可以获得更多的包请求，无需确认，直到它们不再携带任何更多的包，变得不知所措，并且请求开始没有得到答复。

此攻击通过向目标发送大量具有欺骗性源IP地址的TCP“初始连接请求”SYN数据包来利用 TCP握手。目标机器响应每个连接请求，然后等待握手中的最后一步，从不发生，从而在进程中耗尽目标的资源。

容量攻击

攻击目标：

这种类型的攻击尝试通过在目标和较大的Internet之间消耗所有可用带宽来创建拥塞。大量的数据通过使用一种形式的放大或者创建大量流量的另一种手段（例如来自僵尸网络的请求）被发送到目标。

放大攻击范例：

DNS扩增攻击

一个 DNS放大攻击就像如果有人打电话给餐厅和说：“我所拥有的一切的一个，请给我打电话，告诉我，我的整个秩序，”他们给回调的电话号码是目标的数量。只需很少的努力，就会产生很长的反应。

通过向具有欺骗 IP地址（目标的真实IP地址）的开放DNS服务器发出请求，目标IP地址接收来自服务器的响应。攻击者构造请求，使得DNS服务器用大量数据对目标进行响应。因此，目标接收到攻击者初始查询的放大。

减轻DDoS攻击的过程是什么？

减轻DDoS攻击的关键是区分攻击和正常流量。例如，如果产品发布有一个公司的网站淹没了渴望的客户，那么切断所有流量就是一个错误。如果那家公司突然从已知不良行为者的流量急剧增加，那么减轻攻击的努力可能是必要的。困难在于它将真正的客户和攻击流量分开。

在现代互联网中，DDoS流量有多种形式。流量可能因设计而异，从单一源攻击到复杂和自适应多向量攻击。多向量DDoS攻击使用多种攻击途径，以不同的方式压制目标，可能会分散任何轨迹上的缓解工作。同时针对多层协议栈的攻击，例如与HTTP洪泛（目标层7）相结合的DNS放大（目标层3/4））是多向量DDoS的示例。

减轻多向量DDoS攻击需要采取多种策略来对抗不同的轨迹。一般来说，攻击越复杂，流量越难以与正常流量分离，攻击者的目标就是尽可能地融合，使缓解效率尽可能低。减少或限制交通流量的缓解措施可能导致交通不畅，攻击也可能修改并适应规避对策。为了克服复杂的破坏性尝试，分层解决方案将给予最大的好处。

黑洞路由

几乎所有网络管理员可以使用的一个解决方案就是创建一个黑洞路由，并将流量引入该路由。在最简单的形式中，当没有具体的限制标准实现黑洞筛选时，合法和恶意网络流量将路由到空路由或黑洞并从网络中丢弃。如果Internet属性遇到DDoS攻击，则该物业的Internet服务提供商（ISP）可将所有站点的流量发送到黑洞作为防御。

速率限制

限制服务器在某个时间窗口中接受的请求数量也是减轻拒绝服务攻击的一种方式。虽然速率限制对于减缓网页刮板窃取内容和减轻暴力登录尝试是有用的，但单靠这种尝试可能不足以有效地处理复杂的DDoS攻击。然而，速率限制是有效的DDoS缓解策略中的有用组件。了解 Cloudflare的速率限制。

Web应用程序防火墙

Web应用程序防火墙（WAF）是可以帮助缓解第7层DDoS攻击的工具。通过在互联网和源服务器之间放置WAF，WAF可以作为反向代理，保护目标服务器免受某些类型的恶意流量的影响。通过基于用于识别DDoS工具的一系列规则过滤请求，可能会阻碍第7层攻击。有效WAF的一个关键价值是能够快速实施自定义规则以应对攻击。了解 Cloudflare的WAF。

任播网络扩散

这种缓解方法使用Anycast网络将分布式服务器网络上的攻击流量分散到网络吸收流量。像将一条冲水河流分开的较小渠道一样，这种方法将分布式攻击流量的影响扩大到可管理的地步，扩大了任何破坏性的能力。

Anycast网络缓解DDoS攻击的可靠性取决于攻击的大小以及网络的大小和效率。Cloudflare实施的DDoS缓解的一个重要部分是使用Anycast分布式网络。Cloudflare具有10 TBPS网络，比所记录的最大的DDoS攻击大一个数量级。

什么是DDoS攻击？

分布式拒绝服务（DDoS）攻击是恶意的行为，通过大量互联网流量压倒目标或其周围的基础架构来破坏目标服务器，服务或网络的正常流量。DDoS攻击通过利用多个受损的计算机系统作为攻击流量来实现有效性。被利用的机器可以包括计算机和其他网络资源，如IoT设备。从高层次来看，DDoS攻击就像堵塞高速公路的交通堵塞，防止定期流量到达目的地。

DDoS攻击如何工作？

DDoS攻击需要攻击者才能控制网络机器网络，以便进行攻击。计算机和其他机器（如IoT设备）被恶意软件感染，将其转换为僵尸（或僵尸）。然后，攻击者可以远程控制一组僵尸网络（botnet）。

一旦僵尸网络建立起来，攻击者就可以通过远程控制方法向每个机器人发送更新的指令来指导机器。当受害者的 IP地址被僵尸网络定位时，每个机器人将通过向目标发送请求进行响应，可能导致目标服务器或网络溢出容量，导致对正常流量的拒绝服务。因为每个机器人是一个合法的互联网设备，因此将攻击流量与正常流量分开可能是困难的。

DDoS有哪些攻击类型？

DDoS攻击有许多不同的形式，从Smurfs 到Teardrops, 到Pings of Death. 。以下是有关常见攻击类型和扩增方法的详细信息。

攻击类：四种常见的攻击类型

TCP连接攻击 – 占用连接

这些尝试将所有可用的连接用于基础设施设备，如负载平衡器，防火墙和应用程序服务器。即使能够维持数百万连接状态的设备也可以被这些攻击所取消。

容量攻击 – 使用带宽

这些尝试在目标网络/服务内或目标网络/服务与互联网的其余部分之间消耗带宽。这些攻击只是造成拥塞。

碎片攻击 – 数据包

这些发送大量的TCP或UDP片段给受害者，压倒了受害者重新组合流的能力，并严重降低了性能。

应用攻击 – 定位应用

这些尝试压倒应用程序或服务的特定方面，并且即使在产生低流量速率的极少数攻击机（使得它们难以检测和减轻）中也是有效的。

放大：两种攻击可以使他们可以发送的流量倍增。

DNS反射 – 小请求，大回复。

通过伪造受害者的IP地址，攻击者可以向DNS服务器发送小的请求，并要求向受害者发送一个大的回复。这样一来，攻击者就可以从僵尸网络中获得每个请求的大小可以达到70x的大小，从而更容易压制目标。

充电反射 – 稳定的文字流。

大多数计算机和互联网连接的打印机支持称为Chargen的过时的测试服务，该测试服务允许某人使用随机字符流来请求设备进行回复。Chargen可用作扩展类似于上述DNS攻击的攻击手段。

什么是DDoS，它如何缓解？

什么是DDoS – 如何缓解？

记住，面对企业面临的最严重的计算机安全问题是使用哪种防病毒程序，修改密码的频率以及Linux是否比Windows更安全？

今天，这些是小问题，与您早晨的咖啡中是否含有一种或两种相同的重要程度。那些生计取决于他们的网站和服务器的可靠性和正常运行时间的人更多地关注应对 – 最大的是持续的DDoS攻击威胁。

防止和减轻对数据中心和服务器的DDoS攻击的全面，主动的计划对于在线运行的任何公司或组织至关重要。

什么是DDoS？

DDoS代表分布式拒绝服务。破坏主机或服务器与尝试访问主机或服务器的Internet之间的互联网连接是一个全面而恶意的尝试。

简单的拒绝服务攻击相对容易被排斥，因为它只源自有限数量的来源。然而，分布式拒绝服务使用技术（例如使用僵尸网络）同时从数百台，数千台甚至数十万台计算机上产生大量涌入的流量。这一级别的互联网流量旨在压倒向用户提供内容或其他资源的机器，而且几乎不可能在不使用专门的方法和工具的情况下进行战斗。

大多数DDoS攻击本质上都是“容量”的，连接的庞大数量意味着耗尽所有服务器的可用带宽，并迫使它脱机。其他方法更具体地用于使用机器的资源（“协议”攻击）或针对服务器上运行的特定应用程序（“应用程序层”或“第7层”攻击））显然合法的数据请求。后者是最难减轻的。

对企业和组织的DDoS攻击越来越频繁，越来越强大，成本越来越高。调查显示，每年有多达一半的公司被瞄准，DDoS期间的网站或服务器停机时间通常持续6-24个小时，平均每个企业在攻击期间每小时损失约40,000美元（不包括隐藏费用，例如那些由于失去客户信心）。

任何在线的公司都没有完整的DDoS预防和减轻计划，最终将付出代价。

DDoS如何缓解？

DDoS攻击的一部分涉及预防。这通过“阻止所有的门”，黑客和其他坏人通常启动他们的游戏（这包括强化防火墙和负载均衡器，阻止未使用的端口和实现数据包限制的措施）的组合完成，强大的监控软件，也阻止问题IP，并且具有过多的带宽，并且尽可能多地分发流量，以便承受体积爆炸的机器或数据中心。

然而，一些攻击是无法预防的。更大的问题是阻止他们取消您的服务器，并拒绝为客户提供服务。但DDoS如何缓解？

最有效的方法是使第三方服务的服务“刷新”流量，只允许合法请求将其一直运行到公司的服务器或基础设施。在攻击的第一个迹象上，所有前往目标机器的流量都直接重新路由到在云上运行的DDoS缓解服务。通过综合分析，绿灯流量不发送滞后时间到达目的地，恶意流量被完全阻止，可疑流量进一步检查，直到被分类为止。通过这种方法，数据中心和服务器保持完全的活动，并且能够为合法的客户端提供服务，而攻击的首要任务则被发送到不会造成麻烦的云端。

相同的技术可以在内部实现，具有额外的硬件，软件和带宽，但成本对于大多数公司来说是禁止的。内部的DDoS预防以及第三方DDoS缓解是对大多数潜在目标（包括任何在线业务人员）都有意义的方法。

现代DDoS保护技术

过去的好日子里，打击网站或服务器的“坏家伙”意图只是不得不发起DoS（拒绝服务）攻击，一再地从自己的电脑上ping目标，直到目标机被淹没，下。这些现象比较容易打倒，特别是随着带宽成本的下降; 毕竟，如果目标人员有足够的能力来吸引攻击，直到违规的知识产权被禁止或请求全部被阻止，那么就没有任何后果。

对于每一个措施，通常都有一个对策。在这种情况下，坏家伙转移到DDoS（分布式拒绝服务）攻击，首先妥协和使用像大学之类的大型系统，并最终发现他们可以通过分布和分布来建立隐匿的计算机隐蔽网络在这些机器上运行恶意软件。这给了他们“僵尸网络”，无论目标可用的带宽多少，这些僵尸网络都可能迅速发展到能够压倒任何目标的大小。

这些只是黑客和互联网服务提供商或大型公司运行自己的服务器安装之间的连续猫和鼠游戏的第一集。今天，僵尸网络仍然广泛使用，但是他们可以发起的攻击类型已经大大扩展，使DDoS保护和减轻措施比以往任何时候都更具挑战性。

看看不同类型的攻击已经变得普遍，“好人”如何实现DDoS保护，以打击他们。

容量攻击

正如我们所讨论的，ping攻击（也称为ICMP Flood）是DDoS攻击的最简单类型，仍然是DDoS的最常见类型。Arbor Networks的一项研究报告指出，65％的攻击都是体力量的。它们意味着压倒服务器接收和响应所有请求的能力 – 换句话说，纯粹的卷是为了降低服务器，这就是为什么这些类型的爆炸被称为体积攻击。类似的和稍微复杂的方法是用UDP（用户数据报协议）请求压倒服务器上的随机端口，并绑定机器，因为它试图找到请求的计算机，然后发送“目的地不可达”的响应。欺骗这些请求来自的IP，或使用放大技术来几何增加其数量，

减轻这些攻击的传统方法是实施严格的防火墙规则，并使用路由器访问控制列表，阻止分片ping请求和丢弃垃圾数据包，使用负载平衡器扩展流量洪泛，如果不需要则完全阻止ICMP和UDP如果您不需要它们（通常不是，特别是主要用于服务游戏数据或处理广播的UDP）。更先进的DDoS保护技术也有助于防止或减轻体积攻击的影响。

协议攻击

如果您将体积攻击视为简单的暴力，则可以将协议攻击（通常称为状态耗尽攻击）描述为目标暴力。这些爆炸仍然依赖于流量传播Web服务器，但是通过使用服务器可以维护的并发连接数来集中影响中断服务器的正常运行。一些常见的目标是连接状态表，用于控制负载平衡器，防火墙和其他关键功能，以保护机器。Arbor报道说，大约20％的DDoS爆破是协议攻击。

最常见的是被称为死亡平台，其中大量碎片整理的ping数据包被发送到目标，这必须使用大量的资源来重新组合数据包，并且由于缓冲区过载或尝试响应ping而经常崩溃。另一个被称为Slowloris，它向服务器发送大量部分请求，以尽可能长地保持尽可能多的连接。目标是使用所有可用的连接并拒绝合法的客户端访问机器。利用TCP连接过程使用的序列的SYN Flood也采取类似的方法。

针对协议攻击的DDoS保护措施可以包括更快的超时请求，使用DDoS缓解设备来保护易受攻击的防御，如防火墙和负载平衡器，使用SYN cookie跟踪TCP连接并从恶意的缓存中筛选合法请求，并使用SYN缓存同时减少SYN接收的定时器设置。再次，我们接下来看的更先进的技术也可以大大的帮助。

应用层攻击

目前看到的最恶毒的DDoS攻击针对特定的服务器应用程序，如HTTP和DNS服务，所谓的应用层或七层攻击。20％以上的攻击使用这些方法，但它们是最难以缓解的，因为它们旨在模拟真实的访问者在进行请求时的行为。它还需要较少的流量来启动应用程序层攻击，因此监视系统通常需要更长的时间来识别出正在进行的DDoS攻击。

这些代码中最常见的包括HTTP洪水，其中正常的GET和POST请求（不是畸形或欺骗）强制服务器使用不成比例的资源来响应。例如，它们可能涉及并发和重复下载网站元素。其他类型是利用开放的NTP服务器来放大少量查询的效果的NTP（网络时间协议）放大攻击以及以类似的方式利用DNS（域名系统）服务器的DNS放大攻击。

应用层攻击是最难打倒的。通过IP仔细监控和跟踪Web活动，并将其与IP信誉记录匹配，坏机器人封锁以及需要执行JavaScript功能（如CAPCHAs）有时可帮助钝化HTTP洪水，但第7层攻击也需要更高级的DDoS保护措施，例如作为缓存服务器的使用，以及高级过滤和负载平衡技术。另一种有效的方法是将流量划分为“白名单”，“黑名单”和“灰色”类别的技术，将灰色流量转移到可以进行额外测试的独立的隔离服务器。

然而，猫和老鼠的游戏将持续相当长的一段时间，特别是随着DDoS攻击进入多层次，涉及两种或所有三种不同类型的可能的攻击。例如，体积性攻击可以用作转移，以利用系统的资源，并使其容易受到更复杂的应用程序级攻击。顶级提供商不断完善和测试新的DDoS保护和缓解技术，使其尽可能远离坏家伙。

什么是反DDoS？

任何公司或组织今天面临的最大的危险之一就是丢失了互联网连接。在大量行业和市场中，网上销售和运营已经比实体店和现场联系更为重要。

而最大的危害就是DDoS（Distributed Denial of Service，分布式拒绝服务）攻击，恶意尝试彻底取消在线服务器，网络或数据中心，以防止合法流量的连接。

由于DDoS造成的货币损失通常是巨大的，当公司的网络资产在几个小时或几天内无法连接时可能发生的相关损失可能几乎相当昂贵。这就是为什么任何有互联网存在的公司或组织都必须采取反DDoS措施。

什么是反DDoS？

简单地说，反DDoS是由数据中心或互联网服务提供商实施的硬件，软件和IT策略的聚合，以防止和减轻分布式拒绝服务攻击。预防和减轻是分开进行的两项独立活动，必须进行两项活动，以有效地打击这些越来越多的常见和越来越多的互联网服务器和设施的袭击。

最基本的防DDoS措施是预防性的，可由经验丰富的IT人员处理。然而，缓解需要硬件和软件系统的组合，将恶意流量的意外激增远离服务器和网络基础设施，以便被检查，“擦除”，然后仅在确定为合法的访问请求时允许访问互联网。

要充分了解反DDoS策略的这两个方面，重要的是描述攻击如何工作。

AB-C的DDoS

在最简单的形式中，DDoS攻击从许多不同的计算机启动，通常位于世界不同的地方。所有这些计算机同时请求作为攻击目标的网站或服务器的连接或信息; 目的是在一次遇到这么多请求的情况下对机器或网络进行泛洪，最初无法对合法流量做出响应，最终无法完全关闭。

有三种一般形式的DDoS爆破。一个是简单的强力攻击，旨在利用所有可用的带宽，第二个目标是使用所有服务器的资源，第三个尝试淹没目标机器上的特定应用程序或软件。但是，他们都呼吁采取相同的基本方法来防止和防止DDoS。

防DDoS预防涉及采取措施，通过正确的配置和部署来加强防火墙和其他传统保护系统，以及使用智能Web应用程序防火墙的措施，这些防火墙可以在接受之前测试应用程序请求，执行正确的负载平衡，具有足够的带宽并关闭未使用但经常被攻击的端口。还有DDoS监控软件可以有助于过滤掉恶意流量，但在面临大规模攻击时，这些软件在很大程度上是无效的。

当需要DDoS开始和缓解时，有两种选择。第一个是安装一个非常昂贵的反DDoS硬件解决方案，不会将潜在危险的流量从数据中心移出远离其基础设施，并且仅针对某些类型的攻击。现在有几家公司现在正在营销软件/硬件防DDoS系统，但是它们是在内部使用，并且靠近其他危险的硬件。

第二个更有效的反DDoS实践是将缓解工作外包给专门从事擦除恶意流量的异地公司。一旦DDoS攻击正在进行中，所有流量都将立即远离数据中心和云端，反DDoS程序会仔细检查所有流量的来源和性质，然后才将合法访问者路由到目的地。所有恶意流量都被阻止连接，因此不会造成任何损坏，也不会丢失任何服务器。而且这个过程是闪电般的，所以没有客户的服务中断。

反DDoS计划对于所有企业来说至关重要，而一半的措施是不够的。必须包括预防和减轻措施，并且必须有效，以确保持续的数据中心正常运行时间和客户访问。

DDoS攻击解析

没有一个组织被精英黑客完全瞄准的时代。今天，侵略者根本不一定是黑客：街上的高中生，不满的员工，或者与您的组织有不幸的经历的客户都可以通过DDoS攻击快速提升您的在线可用性。

了解它了！那么DDoS攻击究竟是甚么呢？

想像一个不道德的个人，要求垃圾邮件发送到受害者的家中。很多垃圾邮件。受害者的邮箱很快就被淹没了。随着邮件的扩展（类似DDoS攻击的加强），邮件载体将会不堪重负。不久之后，当地邮局，地区邮局等都将变得不堪重负。所有邮件（无论是垃圾还是垃圾）的过境变得僵化。

DDoS攻击在高峰时段就像洛杉矶，但谁能发起攻击？

由于网络犯罪即服务的出现和日益普及，启动DDoS攻击的过程现在是轻而易举，非技术性的。

攻击工具在开源环境中开发，并迅速发展。它们已经变得更加可用，更便宜 – 甚至是免费的 – 结果，DDoS攻击的频率和规模越来越大。

之前

过去黑客 – 只是居住在网络最黑暗的角落 – 需要掌握许多技术挑战来进行DDoS攻击。首先，需要开发和传播恶意软件，从而将机器感染并收集到僵尸网络中。僵尸网络是DDoS攻击的中心地带，是一个没有业主知识的组织的电脑网络。然后，从命令行（通常是IRC），黑客命令僵尸网络攻击他们选择的任何人。

今天

今天，只有一个电子邮件地址和付款方式（一个主要的信用卡，PayPal或比特币会做得很好），可以订阅DDoS网络犯罪即服务门户（也称为引导者），DDoS袭击发起。只要注册Netflix并观看电影，任何人都可以订阅DDoS门户，选择一种攻击类型，并输入受害者的域名或IP地址。

什么是独立服务器？

要了解独立服务器是什么，首先了解公司可用的不同主机选择很重要。

当然，网络主机负责存储显示在线站点所需的信息以及使网站在线可用的互联网连接。当一个公司有一个小的网站，没有收到大量的流量，而不是资源密集的时候，主机只能被称为服务器的一小部分计算机处理（因为它为访客提供“网站”）。

当使用服务器的一部分时，有两个选项。共享主机帐户意味着客户端与许多其他不相关的客户端和网站共享服务器上的空间，而VPS（虚拟专用服务器）为客户端提供了该服务器的存储和资源的更大百分比。无论哪种情况，客户的网站都受到机器上每个客户端的怜悯。例如，如果服务器上的另一个网站收到巨大的流量，使用了不相称的资源量，则服务器上其他站点的性能将受到严重影响。

一旦客户端超出了共享或VPS主机，那么现在是升级的时候了。传统的举措是一个专门的服务器，它的名字意味着将所有的计算机资源都用于单个客户端的需求和网站。客户端的网站是服务器上唯一的网站，没有其他客户端可以访问“框”，客户端可以完全控制其配置和使用。

可以根据需要增加独立服务器可用的内存，存储和带宽等资源（当然需要额外的费用），客户端可以拥有或租用的独立服务器数量没有限制。随着公司的计算和在线需求的增长，更多的服务器可以轻松地添加到组合中。

独立服务器的物流是什么？

独立服务器通常安装在由托管公司运营的设施中，尽管它们可以放置在公司的数据中心（或其他可靠的互联网连接的地方）。一些公司购买自己的服务器，将其存放在服务器机房，并拥有内部的IT人员或外包服务来管理它们（这称为协同定位），但大多数客户喜欢从托管公司租用独立服务器每月收费。许多独立托管服务包括服务器管理和管理服务，作为其每月套餐的一部分，而其他服务则为这些服务收费。

独立服务器允许客户端在设置和运行他们的盒子时，从选择操作系统到选择要部署的应用程序的完全灵活性。它提供更多的安全性，因为没有其他客户端可以访问服务器，可以安装更强大的防火墙，并且可以采取额外的预防措施。它容易扩展，因为可以添加更多的资源或其他服务器来处理增加的负载。

坦白的说，独立的服务器客户端可能会受到技术人员或支持人员的高度关注，因为他们花费更多的钱，而且比使用共享主机帐户的妈妈和弹出式操作更“专业”的客户端。

独立服务器价格因整体包装的资源而异。然而，它们通常比主要的“竞争”云服务器便宜。这是因为专门的资源是按月支付的，而云资源则按“需要”支付，这些费用可以快速增加。

消费者如何使用远程网络DDoS保护 – 为什么这么重要

“DDoS保护？”我们听到你说。“我每个月支付巨额托管账单不是包括在内吗？”还是“为什么我要支付这些庞大的IT部门帐单和工资？

好吧，但是，真正的黑客和攻击者比以往任何时候都更加复杂，与现在普遍使用的DDoS攻击类型和规模相比，要比传统的“传统”数据中心流量清理方法更为复杂。

打击DDoS攻击的难点

平均DDoS现在达到近7Gbps，持续6到24小时，数量和持续时间很少的服务提供商或IT部门可以处理。而在这篇文章中，历史上“最大的”容量的DDoS在带宽方面达到了600Gbps – 几乎不可能理解。此外，更先进的协议和七级攻击正在变得越来越普遍，更难以防御，您的每月支出并不会为您提供所需的全面保护。

你不应该说服自己，技术将最终赶上坏家伙，使DDoSing成为过去的事情。每年不仅攻击规模越来越大，而且有恶意攻击的人（无论出于什么原因）都可以轻易地找到大量在线黑客，他们愿意为不到200美元的DDoS启动DDoS。

在现代环境中消除DDoS攻击是非常困难的，因此可能花费数十万美元购买所有必要的硬件，软件和网络设备，并且不计算高薪专家和有经验的IT人员熟悉有效的DDoS缓解技术。

实际上，经营自己的数据中心的大型公司在理论上可以证明这些类型的成本是合理的。毕竟研究表明，平均DDoS攻击通常会造成大公司的收入损失大于50万美元，更不用说客户信任造成长期的损害，IT顾问和律师的辅助费用以及公司可能的妥协或损失和客户端数据。

然而，解决问题的方式更有效率和成本效益：将您自己的内部或ISP的DDoS预防和监控技术与远程网络DDoS保护相结合，由经验丰富的专业人士提供。

远程网络DDoS防护如何工作

远程DDoS保护通过在服务器的入站流量和网络基础架构之间拥有“保护性中间人”。在DDoS攻击的第一个迹象上，所有流量都转移到云端的远程计算机，作为“中间人”，远离服务器及其网络。流量被分析，分类和刷新，然后合法的访问者被发送回服务器进行网站访问，而恶意流量不允许在您的基础设施附近任何地方。该过程是闪电般的，所以“干净”流量没有明显的滞后，没有服务中断或服务器停机。

同样令人印象深刻的是，这是一个能够提供长期保护的智能系统。智能擦洗软件可以实时了解流量，建立新的IP禁止和规则集，以永久拒绝访问恶意流量。它还保护所有客户端免受任何客户端在DDoS攻击下面临的不良流量。如果系统由像Sharktech这样的顶级人员来运行，则实施定制解决方案，以防止大多数DDoS保护方案无法处理的零日攻击。

擦洗可以配置为始终打开，只会转移可疑的流量，或者只是在实际攻击开始时踢。这允许每个客户端决定是否需要主动和持续的远程DDoS远程保护（这自然是更昂贵的），或者只是想要在攻击开始时利用该服务。定价是根据客户需求确定的，但最好的远程网络DDoS保护服务收取统一费率，而不是按每次攻击的大小或持续时间进行计费。一旦系统参与，它就可以在需要时尽快转移和清理流量。

任何解决方案的有效性在很大程度上取决于其使用最先进的技术，远程网络DDoS保护方法依赖于最先进的BGP，GRE和Anycast系统。

BGP（边界网关协议）是一种处理互联网路由的动态协议，通常用于帮助通过网络主干直接从源到目的地的最有效的路径。当攻击开始时，它能够立即宣告将DDoS目标的所有流量转移到云洗涤中心，因此所有进入的流量可以在发送到目的地之前被清除。
Anycast是允许多个服务器共享相同IP地址的系统，并且广泛用于允许在多个位置使用数据中心。通过均匀分配流量来吸收DDoS攻击的初始化，然后确保DDoS流量全部发送到擦洗中心也是有效的。
GRE（遗传路由封装）隧道是两个网络之间点对点流量传输的方法，无论它们是否使用兼容协议。换句话说，它们是将刷新的流量从云端路由到任何目标服务器的最快方式，因此网站用户没有明显的滞后时间。

DDoS保护协调策略

使用远程DDoS网络保护不是防止和减轻DDoS攻击的“一站式”。您的ISP或数据中心必须通过定期安装修补程序和升级，正确配置防火墙，负载平衡器和其他保护工具，关闭所有明显的网络漏洞（例如，阻止ICMP，拒绝UDP端口53数据包和丢弃垃圾包），以及不断监控可疑流量行为的网络流量，无论是由技术人员完成还是自动化解决方案。

但是当时间到来（不幸的是几乎是不可避免的），您的目标是远程DDoS网络保护是一个关键的缓解工具，以确保您的网络保持可用。

如果您的ISP或数据中心当前没有使用远程DDoS保护，那么它应该是。我们将看看如何在最后一期中实现。

什么是DoS和DDoS攻击保护？

什么是DDoS攻击防护？

不幸的是，术语“DDoS攻击”对于经营公司或组织网站的用户来说已经非常熟悉，甚至是阅读或观看新闻的人。DDoS（分布式拒绝服务）的爆炸变得如此普遍，大约有一半的IT研究公司调查的公司表示，他们是过去一年的目标。即使新闻故事集中在大型金融机构，支付提供商和媒体经常因DDoS扩展问题而遭受苦难，每个拥有网站的人都是从大学到小企业的潜在目标。

这就是为什么这个术语 – 以及有效的DDoS攻击保护的必要性已经变得如此熟悉，对于他们公司的IT运营负责人。对于数据中心或网络服务器正在进行的DDoS，每个小时可能会面临成本从5,000美元到50万美元的高管。

什么是DDoS攻击防护？

“DDoS攻击保护”是一个双管齐下的战略，用于打击大规模的流量爆炸，否则会破坏网站为合法用户提供服务的能力。两个重要组成部分是DDoS预防和DDoS缓解; 预防措施涉及“硬化”服务器安装或数据中心，针对攻击迹象进行渗透和监控的最常见方法，而缓解措施则描述了转移恶意流量的方式，因此不能阻止网站和服务器的运行。

这两种方法都不能独立地防止DDoS攻击。防止问题的步骤当然是至关重要的，可以在开始之前停止一些攻击。一旦“太晚了”，时钟开始在网站停机时间开始，并且使情况控制的成本迅速上升。

DDoS攻击防范的关键步骤

DDoS攻击中有许多不同的复杂程度。一些是相对较小的“简单”的恶意流量洪水，可能会被诸如正确使用防火墙，负载平衡和维持大量带宽的措施所扼杀。其他目标是易受攻击的协议或端口，如ICMP或UDP端口53（用于DNS查询），常常被阻塞或关闭，而不影响服务器操作。专用软件可以监控流量的性质和数量，以允许自动或手动阻止可疑查询或请求。

从预防的角度来看，所有这些都是DDoS攻击防护的重要步骤，但是大多数攻击不会对应用程序造成严重的暴力攻击或更为危险的攻击。这就是二级保护的地方：DDoS攻击缓解。巨大的恶意流量可能会在数分钟甚至数秒内丢弃服务器，因此，处理所有流量的有效计划是保持网站在DDoS中运行的关键。该计划涉及转移和“洗刷”交通。

至少有一些时候，硬件解决方案可以安装在可以处理任务的数据中心中。不幸的是，他们购买和操作非常昂贵，而且仍然无法处理当今许多高容量的攻击，这些攻击在闪存中占用了所有可用的带宽。

最好的解决方案是使用一个异地DDoS云缓解服务，它能够引起经常用于进行攻击的大量流量。当检测到DDoS时，所有流量都将从数据中心转移到云中，缓解服务会分析和分类最初发往服务器的每个请求。恶意流量被拒绝，从不接近目标，只允许访问合法流量。通过这种DDoS攻击防范方法，网站保持在线状态，服务器保持活动状态，DDoS的负面影响受到阻碍。

DDoS攻击防范不是一个事后的想法，只是留在ISP或IT人员的手中，承诺能够处理所有问题。由管理层和所有权人决定确保包含预防和减轻措施的有效计划已经到位，并且足以防止DDoS可能迅速造成巨大的财务损失。