企業(yè)中必備的(de)五大(dà)DDoS防護技(jì)術&γ(shù) 你(nǐ)知(zhī)道(dào)幾§♥個(gè)

分(fēn)布式拒絕服務(DDoS)攻擊已經進入λσ了(le)1 Tbps的(de)DDoS攻擊時(shí)代。然而，Radware研究顯示，DDoS攻擊不(bù)僅規模越來(lái)越大(dà);也(yě)越₽ ♣來(lái)越複雜(zá)。黑(hēi)客們不(bù)斷提出新的(™✔•de)可(kě)以繞過傳統DDoS防護措施的(de)創新方☆$★法，損害企業(yè)的(de)服務可(kě)用(y>‍παòng)性。

在線安全提供商正在加快(kuài)腳步，推出新技(jì)術(shù)來(±↔lái)阻止攻擊者。然而，并不(bù)是(shì ♥βφ)所有(yǒu)的(de)DDoS防護措施都←≥ (dōu)是(shì)生(shēng)來(lái)平等的(de)。DDoS防"α護服務的(de)質量和(hé)所能(néng)提供的(de)的(de)防護措施π÷有(yǒu)很(hěn)大(dà)差别。★¶≤

為(wèi)了(le)确保能(néng)夠防禦最新和(hé)最強大(dà)的(✔<αεde)DDoS攻擊，企業(yè)必須确定其安全提供商可(kě)以提供應π‌對(duì)這(zhè)些(xiē)最新威脅的(de)最佳✔★×→工(gōng)具和(hé)技(jì)術(shù)。

以下(xià)是(shì)企業(yè)現(xiàn)代₹>☆&DDoS防護措施中的(de)5項必備功能(nénβ₽g)：

必備功能(néng)1：應用(yòng)層DDoS防護

應用(yòng)層(L7) DDoS攻擊已經超過網絡層($↓L3/4)攻擊，成為(wèi)了(le)最廣泛的(de)攻擊矢量。據λ♣®φRadware 2017-2018年(nián)ERT報(bào)告稱，♦©γ←64%的(de)企業(yè)都(dōu)面臨著(zhe)應用(yòng)層攻擊£¥，相(xiàng)比之下(xià)，面臨網絡層攻擊的(de)企業(yè)♦ λ≠僅為(wèi)51%。

事(shì)實上(shàng)，據ERT報(bào)告稱，在所有(yǒu)攻☆♥¥擊類型中(包括網絡層和(hé)應用(yòng)層)，HTTP洪水(sh₩&§uǐ)是(shì)排名第一(yī)的(de★↔)攻擊矢量。此外(wài)，SSL、DNS和(hé)SMTP攻擊也∞✔(yě)是(shì)常見(jiàn)的(de)應用(yòng)層φ​攻擊類型。

許多(duō)在線安全服務都(dōu)承諾可>↔★(kě)以通(tōng)過WAF實現(xiàn)L7層DDoS防護。™✔然而，這(zhè)通(tōng)常需要(yào)Ω$•✔在DDoS防護機(jī)制(zhì)的(de)基礎之上(s≥αγ÷hàng)訂閱昂貴的(de)附加WAF服務。

這(zhè)些(xiē)趨勢暗(àn)示了(le)，現(xiàn)代DDoS↕•≈防護已經不(bù)隻是(shì)為(wèi)了(le)防¶±禦網絡層DDoS攻擊。為(wèi)了(le)讓企<λ¥$業(yè)得(de)到(dào)充分(fē↔α&n)保護，現(xiàn)代DDoS防護措施必須包♣σ¥<含可(kě)以防禦應用(yòng)層(L7)攻擊的(de)內(nè→≤™i)置防禦措施。

必備功能(néng)2：SSL DDoS洪水(↕∑shuǐ)防護

目前，加密流量占了(le)互聯網流量的(de)一(yī)大(dà)部✔π分(fēn)。根據Mozilla的(de)Let’s Eγ•‍₹ncrypt項目，全球70%以上(shàng)的(de)網站★♥(zhàn)都(dōu)是(shì)通(×↔tōng)過HTTPS傳輸的(de)，這Ωφ÷(zhè)一(yī)比例在美(měi)國(guó)和(hé)德國(gu∞☆©§ó)等市(shì)場(chǎng)中更高(gāo)。這(zhè)些(xiē↔γ®)發現(xiàn)在Radware最新的(de)ERT報(bào)告中都σ ≤(dōu)有(yǒu)所體(tǐ)現(xià↑"n)，目前，96%的(de)企業(yè)都(dōu)在一(yī) β定程度上(shàng)采用(yòng)了(le)SSL，其中≠β60%的(de)企業(yè)證實了(le)，他(tā)們的(d"®✔δe)大(dà)部分(fēn)流量都(dōu)§✘↓<是(shì)經過加密的(de)。

然而，這(zhè)種增長(cháng)也(yě)帶來(lái)了(le)±λ§∑重大(dà)的(de)安全挑戰：與常規請(qǐn§★g)求相(xiàng)比，加密請(qǐng)求可(λφkě)能(néng)需要(yào)高(gāo)達15倍以上(sφ₹♦↔hàng)的(de)服務器(qì)資源。這(&↔&♣zhè)就(jiù)意味著(zhe)，複雜(zá)的(de)攻擊者即££ ∑使利用(yòng)少(shǎo)量流量也(yě)可(kě)以擊垮λ€ε一(yī)個(gè)網站(zhàn)。

由于越來(lái)越多(duō)的(de)流量都(dō​÷±u)是(shì)經過加密的(de)，SSL DDoS洪水(shuǐ)成✘©★≤為(wèi)了(le)黑(hēi)客越來(l≈↔ái)越常用(yòng)的(de)攻擊矢量。據Radw✔φare最新的(de)ERT報(bào)告稱，過去(qù)一(yī)年( ✔≈✘nián)間(jiān)，30%的(de)企業(yè)都(dōu)聲稱γ→¶>遭受了(le)基于SSL的(de)攻擊。

鑒于基于SSL的(de)DDoS攻擊的(de)威力，對(duì)希望得(de)♦÷₽↔到(dào)充分(fēn)保護的(de)企業(yè)而言，可★®(kě)以防禦SSL DDoS洪水(shuǐ)的(de)高(gāo)水(s  >αhuǐ)平防護措施是(shì)必不(bù)可(kě)少(shǎo)的(de€★)。

必備功能(néng)3：零日(rì)防護 ↓

攻擊者在不(bù)斷尋找新的(de)方法，繞過傳統的(de)安全機(j↓'<ī)制(zhì)，并利用(yòng)前所未見(jiΩ​™±àn)的(de)攻擊方法攻擊企業(yè)。即使對(duì)攻♠→擊特征碼做(zuò)一(yī)些(xiē)微(wēi)φ↔€小(xiǎo)修改，黑(hēi)客也(yě↑γ)能(néng)創造出手動特征碼無法識别的(de)攻擊。這(zhè)類攻擊通(£σ™εtōng)常被稱為(wèi)“零日(rì)”攻擊。

例如(rú)，一(yī)種常見(jiàn)的(de)零日(rì)攻擊π↑©✔就(jiù)是(shì)脈沖式DDoS攻擊，在φ☆♠♠切換到(dào)另一(yī)個(gè)攻擊矢 α‌量之前，該攻擊會(huì)利用(yòng)高(gāo)容量攻擊的(d✘¶≠e)短(duǎn)時(shí)脈沖。這(zhè)些(xiē)攻擊通(tōn÷♣☆g)常會(huì)結合許多(duō)不(b★®ù)同的(de)攻擊矢量，依賴需要(yào)手動優化(huà)的(d§↕αe)傳統安全解決方案的(de)企業(yè)在面對(du≥≠ì)這(zhè)些(xiē)打了(le)就(jiù)跑的φ₩™£(de)戰術(shù)時(shí)往往會(huì)陷入困境。λ§

另一(yī)類零日(rì)攻擊是(shì)∑✘放(fàng)大(dà)攻擊。放(fàng)大(dà)攻擊通(tōng)☆ 常會(huì)采用(yòng)請(qǐng)求♠'和(hé)響應包大(dà)小(xiǎo)嚴重不(bù)對(duì)σ ×♥稱的(de)通(tōng)信協議(yì)。此類攻擊會(huì)将流量從(có$♦•ng)不(bù)參與攻擊的(de)第三方服 ↑≠務器(qì)上(shàng)反射出來(lái)，放(fà×πng)大(dà)攻擊流量，進而擊垮攻擊目标。

據Radware 2017-2018年(&¶∏€nián)ERT報(bào)告稱，42%的(de)企業(¶™₩≥yè)都(dōu)遭受了(le)脈沖式攻擊，40%的(☆∑de)企業(yè)聲稱遭受了(le)放(fàng)大(dà)DDoS攻擊。這≥•‌σ(zhè)些(xiē)趨勢說(shuō)明≠×→→(míng)了(le)零日(rì)攻擊防護功能(néng©↕§δ)在現(xiàn)代DDoS防護機(jī)制(zhì)中的(deσ")必要(yào)性。

必備功能(néng)4：行(xíng)為(wèi)防護

由于DDoS攻擊變得(de)越來(lái)越複雜(zá)，區¶✔ε∞(qū)分(fēn)合法流量和(hé)惡意β☆≥•流量也(yě)随之變得(de)越來(lái)越困難。對(duì)于可(kě)< π以模仿合法用(yòng)戶行(xíng)為§βπ(wèi)的(de)應用(yòng)層(L7) DD>α₹oS攻擊而言尤為(wèi)如(rú)此。

許多(duō)安全廠(chǎng)商采用(yòng)的(de)常γΩ>✘見(jiàn)機(jī)制(zhì)就(jiù)是(shì)基于流↔•§量阈值來(lái)檢測攻擊，并使用(yòng)速率限制(zhì)來(lái)↔★≤限制(zhì)流量峰值。然而，這(zhè)是(shε≤γ±ì)一(yī)種非常粗糙的(de)攻擊攔截方式，因₩β★β為(wèi)此方法無法區(qū)分(fēn)合法流量和φ'¶×(hé)惡意流量。在流量顯著增加的(de)購(gòu•↔™<)物(wù)季等活動高(gāo)峰期，這(zhè)是(shì)一(yī)個(g≥→☆è)非常嚴重的(de)問(wèn)題。速率限制(zhì)等單一(yī"✘σ™)的(de)防護機(jī)制(zhì)無法區✔✘•←(qū)分(fēn)合法流量和(hé)攻擊流量，最終會(huì)攔截合法用(y€♥♣òng)戶。

然而，一(yī)種可(kě)以更有(yǒu)效檢測并攔截攻擊的(de)方法就'ε☆(jiù)是(shì)采用(yòng)了(le)解什(¥∏shén)麽是(shì)正常用(yòng)戶行(xíng)為(wèi)∑‌✘↓的(de)行(xíng)為(wèi)分(fēn)析技(jì)術(shù)♥Ωσ≥，并攔截所有(yǒu)不(bù)符合這(zhè)種行(xíng)為™‌∑§(wèi)的(de)流量。這(zhè)不(bù)僅 π可(kě)以提供更高(gāo)水(shuǐ ↑)平的(de)防護，而且可(kě)以實現(xiàn♠φαφ)更低(dī)的(de)誤報(bào)率，并且不(bù)會€ $(huì)在流量高(gāo)峰期攔截合法用(yòng)戶。

因此，采用(yòng)了(le)基于行(xíng)¶λ¥®為(wèi)分(fēn)析的(de)檢測(和 →♣≠(hé)緩解)的(de)DDoS防護措施确實是(shλ•ì)有(yǒu)效的(de)DDoS防護中的(de)必↕∞© 備功能(néng)。

必備功能(néng)5：詳盡的(de)SLA

企業(yè)服務水(shuǐ)平協議(yì)(SLA)是(shì)企¶♦業(yè)安全提供商承諾為(wèi)其提供₹♠的(de)保障。毫不(bù)誇張的(de)說(shuō)，企業(yè)安全完全φ$&₽取決于企業(yè)的(de)SLA。

許多(duō)安全廠(chǎng)商都(dōu)大(dà)肆宣揚自(zì)己≈₩↓✘的(de)能(néng)力，但(dàn)一(yī)旦到(d≠>‌ào)了(le)要(yào)做(zuò)出實際≤δ≠承諾的(de)時(shí)候，他(tā)•" 們的(de)宣揚就(jiù)會(huì)化(huà)為(wèi)泡影(yǐng↓§)。

為(wèi)了(le)确保企業(yè)能££≠(néng)獲得(de)安全廠(chǎng)商≥γ↕←宣傳手冊上(shàng)描述的(de)所有(yǒu)服務，企業(yè)需要©​↑↔(yào)告訴安全廠(chǎng)商要(yào)采取切實措施，并提供詳細的(♠>± de)SLA，其中包括對(duì)檢測、緩解和(hé)可(δφ£ kě)用(yòng)性指标的(de)具體(tǐ)承諾。SLA必須涵蓋整個(gèφ ₽✔)DDoS攻擊生(shēng)命周期，以便确保企業(yè)在任何場(chǎn®∞g)景下(xià)都(dōu)能(néng)σε得(de)到(dào)充分(fēn)的(d φ'λe)保護。

如(rú)果企業(yè)的(de)安全提供商無法提★ 供此類承諾，企業(yè)就(jiù)應該對(du‍Ω∑ì)該廠(chǎng)商能(néng)否提供高(gāo)質量的(de←$)DDoS攻擊防護産生(shēng)懷疑。這(zhè)也(yě)是(sε←€ hì)細粒度SLA能(néng)成為(wèi)現(x∑₩←iàn)代DDoS防護措施中必備功能(néng)的(de)原因。