什么是DDoS,它如何缓解?

什么是DDoS – 如何缓解?

记住,面对企业面临的最严重的计算机安全问题是使用哪种防病毒程序,修改密码的频率以及Linux是否比Windows更安全?

今天,这些是小问题,与您早晨的咖啡中是否含有一种或两种相同的重要程度。那些生计取决于他们的网站和服务器的可靠性和正常运行时间的人更多地关注应对 – 最大的是持续的DDoS攻击威胁。

防止和减轻对数据中心和服务器的DDoS攻击的全面,主动的计划对于在线运行的任何公司或组织至关重要。

什么是DDoS?

DDoS代表分布式拒绝服务。破坏主机或服务器与尝试访问主机或服务器的Internet之间的互联网连接是一个全面而恶意的尝试。

简单的拒绝服务攻击相对容易被排斥,因为它只源自有限数量的来源。然而,分布式拒绝服务使用技术(例如使用僵尸网络)同时从数百台,数千台甚至数十万台计算机上产生大量涌入的流量。这一级别的互联网流量旨在压倒向用户提供内容或其他资源的机器,而且几乎不可能在不使用专门的方法和工具的情况下进行战斗。

大多数DDoS攻击本质上都是“容量”的,连接的庞大数量意味着耗尽所有服务器的可用带宽,并迫使它脱机。其他方法更具体地用于使用机器的资源(“协议”攻击)或针对服务器上运行的特定应用程序(“应用程序层”或“第7层”攻击))显然合法的数据请求。后者是最难减轻的。

对企业和组织的DDoS攻击越来越频繁,越来越强大,成本越来越高。调查显示,每年有多达一半的公司被瞄准,DDoS期间的网站或服务器停机时间通常持续6-24个小时,平均每个企业在攻击期间每小时损失约40,000美元(不包括隐藏费用,例如那些由于失去客户信心)。

任何在线的公司都没有完整的DDoS预防和减轻计划,最终将付出代价。

DDoS如何缓解?

DDoS攻击的一部分涉及预防。这通过“阻止所有的门”,黑客和其他坏人通常启动他们的游戏(这包括强化防火墙和负载均衡器,阻止未使用的端口和实现数据包限制的措施)的组合完成,强大的监控软件,也阻止问题IP,并且具有过多的带宽,并且尽可能多地分发流量,以便承受体积爆炸的机器或数据中心。

然而,一些攻击是无法预防的。更大的问题是阻止他们取消您的服务器,并拒绝为客户提供服务。但DDoS如何缓解?

最有效的方法是使第三方服务的服务“刷新”流量,只允许合法请求将其一直运行到公司的服务器或基础设施。在攻击的第一个迹象上,所有前往目标机器的流量都直接重新路由到在云上运行的DDoS缓解服务。通过综合分析,绿灯流量不发送滞后时间到达目的地,恶意流量被完全阻止,可疑流量进一步检查,直到被分类为止。通过这种方法,数据中心和服务器保持完全的活动,并且能够为合法的客户端提供服务,而攻击的首要任务则被发送到不会造成麻烦的云端。

相同的技术可以在内部实现,具有额外的硬件,软件和带宽,但成本对于大多数公司来说是禁止的。内部的DDoS预防以及第三方DDoS缓解是对大多数潜在目标(包括任何在线业务人员)都有意义的方法。

现代DDoS保护技术

过去的好日子里,打击网站或服务器的“坏家伙”意图只是不得不发起DoS(拒绝服务)攻击,一再地从自己的电脑上ping目标,直到目标机被淹没,下。这些现象比较容易打倒,特别是随着带宽成本的下降; 毕竟,如果目标人员有足够的能力来吸引攻击,直到违规的知识产权被禁止或请求全部被阻止,那么就没有任何后果。

对于每一个措施,通常都有一个对策。在这种情况下,坏家伙转移到DDoS(分布式拒绝服务)攻击,首先妥协和使用像大学之类的大型系统,并最终发现他们可以通过分布和分布来建立隐匿的计算机隐蔽网络在这些机器上运行恶意软件。这给了他们“僵尸网络”,无论目标可用的带宽多少,这些僵尸网络都可能迅速发展到能够压倒任何目标的大小。

这些只是黑客和互联网服务提供商或大型公司运行自己的服务器安装之间的连续猫和鼠游戏的第一集。今天,僵尸网络仍然广泛使用,但是他们可以发起的攻击类型已经大大扩展,使DDoS保护和减轻措施比以往任何时候都更具挑战性。

看看不同类型的攻击已经变得普遍,“好人”如何实现DDoS保护,以打击他们。

容量攻击

正如我们所讨论的,ping攻击(也称为ICMP Flood)是DDoS攻击的最简单类型,仍然是DDoS的最常见类型。Arbor Networks的一项研究报告指出,65%的攻击都是体力量的。它们意味着压倒服务器接收和响应所有请求的能力 – 换句话说,纯粹的卷是为了降低服务器,这就是为什么这些类型的爆炸被称为体积攻击。类似的和稍微复杂的方法是用UDP(用户数据报协议)请求压倒服务器上的随机端口,并绑定机器,因为它试图找到请求的计算机,然后发送“目的地不可达”的响应。欺骗这些请求来自的IP,或使用放大技术来几何增加其数量,

减轻这些攻击的传统方法是实施严格的防火墙规则,并使用路由器访问控制列表,阻止分片ping请求和丢弃垃圾数据包,使用负载平衡器扩展流量洪泛,如果不需要则完全阻止ICMP和UDP如果您不需要它们(通常不是,特别是主要用于服务游戏数据或处理广播的UDP)。更先进的DDoS保护技术也有助于防止或减轻体​​积攻击的影响。

协议攻击

如果您将体积攻击视为简单的暴力,则可以将协议攻击(通常称为状态耗尽攻击)描述为目标暴力。这些爆炸仍然依赖于流量传播Web服务器,但是通过使用服务器可以维护的并发连接数来集中影响中断服务器的正常运行。一些常见的目标是连接状态表,用于控制负载平衡器,防火墙和其他关键功能,以保护机器。Arbor报道说,大约20%的DDoS爆破是协议攻击。

最常见的是被称为死亡平台,其中大量碎片整理的ping数据包被发送到目标,这必须使用大量的资源来重新组合数据包,并且由于缓冲区过载或尝试响应ping而经常崩溃。另一个被称为Slowloris,它向服务器发送大量部分请求,以尽可能长地保持尽可能多的连接。目标是使用所有可用的连接并拒绝合法的客户端访问机器。利用TCP连接过程使用的序列的SYN Flood也采取类似的方法。

针对协议攻击的DDoS保护措施可以包括更快的超时请求,使用DDoS缓解设备来保护易受攻击的防御,如防火墙和负载平衡器,使用SYN cookie跟踪TCP连接并从恶意的缓存中筛选合法请求,并使用SYN缓存同时减少SYN接收的定时器设置。再次,我们接下来看的更先进的技术也可以大大的帮助。

应用层攻击

目前看到的最恶毒的DDoS攻击针对特定的服务器应用程序,如HTTP和DNS服务,所谓的应用层或七层攻击。20%以上的攻击使用这些方法,但它们是最难以缓解的,因为它们旨在模拟真实的访问者在进行请求时的行为。它还需要较少的流量来启动应用程序层攻击,因此监视系统通常需要更长的时间来识别出正在进行的DDoS攻击。

这些代码中最常见的包括HTTP洪水,其中正常的GET和POST请求(不是畸形或欺骗)强制服务器使用不成比例的资源来响应。例如,它们可能涉及并发和重复下载网站元素。其他类型是利用开放的NTP服务器来放大少量查询的效果的NTP(网络时间协议)放大攻击以及以类似的方式利用DNS(域名系统)服务器的DNS放大攻击。

应用层攻击是最难打倒的。通过IP仔细监控和跟踪Web活动,并将其与IP信誉记录匹配,坏机器人封锁以及需要执行JavaScript功能(如CAPCHAs)有时可帮助钝化HTTP洪水,但第7层攻击也需要更高级的DDoS保护措施,例如作为缓存服务器的使用,以及高级过滤和负载平衡技术。另一种有效的方法是将流量划分为“白名单”,“黑名单”和“灰色”类别的技术,将灰色流量转移到可以进行额外测试的独立的隔离服务器。

然而,猫和老鼠的游戏将持续相当长的一段时间,特别是随着DDoS攻击进入多层次,涉及两种或所有三种不同类型的可能的攻击。例如,体积性攻击可以用作转移,以利用系统的资源,并使其容易受到更复杂的应用程序级攻击。顶级提供商不断完善和测试新的DDoS保护和缓解技术,使其尽可能远离坏家伙。

消费者如何使用远程网络DDoS保护 – 为什么这么重要

“DDoS保护?”我们听到你说。“我每个月支付巨额托管账单不是包括在内吗?”还是“为什么我要支付这些庞大的IT部门帐单和工资?

好吧,但是,真正的黑客和攻击者比以往任何时候都更加复杂,与现在普遍使用的DDoS攻击类型和规模相比,要比传统的“传统”数据中心流量清理方法更为复杂。

打击DDoS攻击的难点

平均DDoS现在达到近7Gbps,持续6到24小时,数量和持续时间很少的服务提供商或IT部门可以处理。而在这篇文章中,历史上“最大的”容量的DDoS在带宽方面达到了600Gbps – 几乎不可能理解。此外,更先进的协议和七级攻击正在变得越来越普遍,更难以防御,您的每月支出并不会为您提供所需的全面保护。

你不应该说服自己,技术将最终赶上坏家伙,使DDoSing成为过去的事情。每年不仅攻击规模越来越大,而且有恶意攻击的人(无论出于什么原因)都可以轻易地找到大量在线黑客,他们愿意为不到200美元的DDoS启动DDoS。

在现代环境中消除DDoS攻击是非常困难的,因此可能花费数十万美元购买所有必要的硬件,软件和网络设备,并且不计算高薪专家和有经验的IT人员熟悉有效的DDoS缓解技术。

实际上,经营自己的数据中心的大型公司在理论上可以证明这些类型的成本是合理的。毕竟研究表明,平均DDoS攻击通常会造成大公司的收入损失大于50万美元,更不用说客户信任造成长期的损害,IT顾问和律师的辅助费用以及公司可能的妥协或损失和客户端数据。

然而,解决问题的方式更有效率和成本效益:将您自己的内部或ISP的DDoS预防和监控技术与远程网络DDoS保护相结合,由经验丰富的专业人士提供。

远程网络DDoS防护如何工作

远程DDoS保护通过在服务器的入站流量和网络基础架构之间拥有“保护性中间人”。在DDoS攻击的第一个迹象上,所有流量都转移到云端的远程计算机,作为“中间人”,远离服务器及其网络。流量被分析,分类和刷新,然后合法的访问者被发送回服务器进行网站访问,而恶意流量不允许在您的基础设施附近任何地方。该过程是闪电般的,所以“干净”流量没有明显的滞后,没有服务中断或服务器停机。

同样令人印象深刻的是,这是一个能够提供长期保护的智能系统。智能擦洗软件可以实时了解流量,建立新的IP禁止和规则集,以永久拒绝访问恶意流量。它还保护所有客户端免受任何客户端在DDoS攻击下面临的不良流量。如果系统由像Sharktech这样的顶级人员来运行,则实施定制解决方案,以防止大多数DDoS保护方案无法处理的零日攻击。

擦洗可以配置为始终打开,只会转移可疑的流量,或者只是在实际攻击开始时踢。这允许每个客户端决定是否需要主动和持续的远程DDoS远程保护(这自然是更昂贵的),或者只是想要在攻击开始时利用该服务。定价是根据客户需求确定的,但最好的远程网络DDoS保护服务收取统一费率,而不是按每次攻击的大小或持续时间进行计费。一旦系统参与,它就可以在需要时尽快转移和清理流量。

任何解决方案的有效性在很大程度上取决于其使用最先进的技术,远程网络DDoS保护方法依赖于最先进的BGP,GRE和Anycast系统。

  • BGP(边界网关协议)是一种处理互联网路由的动态协议,通常用于帮助通过网络主干直接从源到目的地的最有效的路径。当攻击开始时,它能够立即宣告将DDoS目标的所有流量转移到云洗涤中心,因此所有进入的流量可以在发送到目的地之前被清除。
  • Anycast是允许多个服务器共享相同IP地址的系统,并且广泛用于允许在多个位置使用数据中心。通过均匀分配流量来吸收DDoS攻击的初始化,然后确保DDoS流​​量全部发送到擦洗中心也是有效的。
  • GRE(遗传路由封装)隧道是两个网络之间点对点流量传输的方法,无论它们是否使用兼容协议。换句话说,它们是将刷新的流量从云端路由到任何目标服务器的最快方式,因此网站用户没有明显的滞后时间。

DDoS保护协调策略

使用远程DDoS网络保护不是防止和减轻DDoS攻击的“一站式”。您的ISP或数据中心必须通过定期安装修补程序和升级,正确配置防火墙,负载平衡器和其他保护工具,关闭所有明显的网络漏洞(例如,阻止ICMP,拒绝UDP端口53数据包和丢弃垃圾包),以及不断监控可疑流量行为的网络流量,无论是由技术人员完成还是自动化解决方案。

但是当时间到来(不幸的是几乎是不可避免的),您的目标是远程DDoS网络保护是一个关键的缓解工具,以确保您的网络保持可用。

如果您的ISP或数据中心当前没有使用远程DDoS保护,那么它应该是。我们将看看如何在最后一期中实现。

什么是DoS和DDoS攻击保护?

什么是DDoS攻击防护?

不幸的是,术语“DDoS攻击”对于经营公司或组织网站的用户来说已经非常熟悉,甚至是阅读或观看新闻的人。DDoS(分布式拒绝服务)的爆炸变得如此普遍,大约有一半的IT研究公司调查的公司表示,他们是过去一年的目标。即使新闻故事集中在大型金融机构,支付提供商和媒体经常因DDoS扩展问题而遭受苦难,每个拥有网站的人都是从大学到小企业的潜在目标。

这就是为什么这个术语 – 以及有效的DDoS攻击保护的必要性已经变得如此熟悉,对于他们公司的IT运营负责人。对于数据中心或网络服务器正在进行的DDoS,每个小时可能会面临成本从5,000美元到50万美元的高管。

什么是DDoS攻击防护?

“DDoS攻击保护”是一个双管齐下的战略,用于打击大规模的流量爆炸,否则会破坏网站为合法用户提供服务的能力。两个重要组成部分是DDoS预防和DDoS缓解; 预防措施涉及“硬化”服务器安装或数据中心,针对攻击迹象进行渗透和监控的最常见方法,而缓解措施则描述了转移恶意流量的方式,因此不能阻止网站和服务器的运行。

这两种方法都不能独立地防止DDoS攻击。防止问题的步骤当然是至关重要的,可以在开始之前停止一些攻击。一旦“太晚了”,时钟开始在网站停机时间开始,并且使情况控制的成本迅速上升。

DDoS攻击防范的关键步骤

DDoS攻击中有许多不同的复杂程度。一些是相对较小的“简单”的恶意流量洪水,可能会被诸如正确使用防火墙,负载平衡和维持大量带宽的措施所扼杀。其他目标是易受攻击的协议或端口,如ICMP或UDP端口53(用于DNS查询),常常被阻塞或关闭,而不影响服务器操作。专用软件可以监控流量的性质和数量,以允许自动或手动阻止可疑查询或请求。

从预防的角度来看,所有这些都是DDoS攻击防护的重要步骤,但是大多数攻击不会对应用程序造成严重的暴力攻击或更为危险的攻击。这就是二级保护的地方:DDoS攻击缓解。巨大的恶意流量可能会在数分钟甚至数秒内丢弃服务器,因此,处理所有流量的有效计划是保持网站在DDoS中运行的关键。该计划涉及转移和“洗刷”交通。

至少有一些时候,硬件解决方案可以安装在可以处理任务的数据中心中。不幸的是,他们购买和操作非常昂贵,而且仍然无法处理当今许多高容量的攻击,这些攻击在闪存中占用了所有可用的带宽。

最好的解决方案是使用一个异地DDoS云缓解服务,它能够引起经常用于进行攻击的大量流量。当检测到DDoS时,所有流量都将从数据中心转移到云中,缓解服务会分​​析和分类最初发往服务器的每个请求。恶意流量被拒绝,从不接近目标,只允许访问合法流量。通过这种DDoS攻击防范方法,网站保持在线状态,服务器保持活动状态,DDoS的负面影响受到阻碍。

DDoS攻击防范不是一个事后的想法,只是留在ISP或IT人员的手中,承诺能够处理所有问题。由管理层和所有权人决定确保包含预防和减轻措施的有效计划已经到位,并且足以防止DDoS可能迅速造成巨大的财务损失。