避免DDoS攻击对您的业务造成损害
不要让分布式拒绝服务(DDoS)攻击因其带来的声誉和经济损失而扰乱您的业务。
通过使用基于云的DDoS防护服务,可以有效防御黑客入侵。
任何怀有恶意的人都可以雇佣黑客服务来实施有针对性的攻击。
恶意软件工具的获取和使用都非常简单,并且效果显著。
网络犯罪分子不仅会攻击大型公司,还会寻找任何规模的易受攻击的目标,
包括个人博客、电商商店以及中小型企业。
DDoS攻击是一种特别危险且日益普遍的攻击形式。
在DDoS攻击中,一组受损的分布式系统(例如服务器、家用电脑、物联网设备等任何连接到互联网的设备)
会被用来向目标系统发送大量请求,直至受攻击系统不堪重负而无法正常工作。
由于攻击流量来自多个分散的来源,因此很难识别攻击者或有效缓解攻击。
DDoS攻击具有不可预测性,一些最新的攻击甚至能够达到800到900 Gbps的规模,
这非常危险。
攻击者可能使用多种技术对您的在线业务发起DDoS攻击。以下是一些常见的攻击手法:
- UDP碎片攻击
- DNS、NTP、UDP、SYN、SSDP、ACK 泛洪攻击
- 耗尽攻击
- TCP异常攻击
攻击的动机多种多样。首先,受害者通常是经过精心挑选的,而非随机选择。
可能是竞争对手想要将您排挤出市场,或者有人非常反感您发布的内容——
任何原因都可能促使他们花费数百美元来攻击您的网站。
您可以实时监控网络攻击情况。
如何预防DDoS攻击?
如果您经营着一家小型企业,拥有一个小型网站,或者您运营博客或个人网站,
那么您需要采取措施来避免成为DDoS攻击的受害者。
一种选择是聘请托管安全服务提供商(MSSP)来处理所有潜在的网络威胁。
这包括入侵检测、漏洞扫描、防病毒服务,以及提供防火墙和VPN等技术。
一个优秀的MSSP可以让您高枕无忧,但成本可能较高。
如果您已经具备了大部分安全基础,并且只需要保护您的站点免受DDoS攻击,
那么您可以从您的ISP或托管服务提供商处租用DDoS防护即服务(DPaaS)。
如果您倾向于DIY解决方案,那么首先要实施的是DDoS攻击的检测和缓解。
要检测DDoS攻击,您需要监控网站的传入流量,
并寻找任何可能表明正在发生攻击的模式。
流量的突然激增可能是一个信号,但您需要确定激增是来自合法用户流量的增加还是DDoS攻击的征兆,
这并非总是容易的。
一旦检测到真正的DDoS攻击,您可以识别发送非法流量的IP地址,
并在您的托管服务提供商或流量过滤设备(如路由器或防火墙)的帮助下阻止它们。
听起来很简单,对吧?
但考虑到典型的DDoS攻击每秒可能涉及数百万个数据包,
您可以得出结论,DIY方案不可行,
您应该聘请价格合理的基于云的DDoS保护服务。
DDoS防护服务如何运作?
有效的反DDoS解决方案必须处理以下任务:检测、转移、过滤和分析。
检测意味着识别可能预示DDoS攻击的流量异常。
有效的反DDoS解决方案应能够尽快识别攻击,并避免误报。
转移意味着将流量重新路由,要么丢弃,要么过滤。
过滤指的是清除DDoS流量,将其识别为恶意流量。
有效的反DDoS解决方案应能够在不影响合法用户体验的情况下完成此操作。
最后,分析是指审查流量日志,收集有关攻击的信息,以识别攻击者,
并增强未来的检测能力。
在比较反DDoS解决方案时,网络容量是一个需要考虑的重要因素。
它以Gbps(千兆位/秒)或Tbps(太比特/秒)为单位,表示防护能够承受的攻击强度。
基于云的解决方案通常提供每秒数太比特的网络容量,这远超任何网站可能需要的容量。
服务水平的其他重要衡量标准包括转发率和缓解时间。
转发速率表示解决方案处理数据包的能力,以每秒数百万个数据包(Mpps)为单位。
攻击通常达到300-500 Gbps,有些甚至可以扩展到1 Tbps。
反DDoS解决方案的处理能力需要高于此才能有效。
缓解时间因解决方案提供商检测攻击的方式而异。
具有先发制人检测功能的常时在线解决方案应能提供近乎即时的缓解。
但是,这需要在实际环境中进行测试。
显然,所有这些因素都必须与成本进行权衡。下面让我们来看看一些可用的最佳云端DDoS检测和保护解决方案。
阿卡迈
Kona DDoS Defender是阿卡迈提供的基于云的解决方案,可以阻止DDoS攻击。
它结合了安全运营中心(SOC)的不间断服务和阿卡迈的智能平台,
提供了高度可扩展性,并保证了网站的持续运行,即使在发生攻击时也是如此。
阿卡迈的智能平台遍布全球,能够处理全球网络总流量的15%到30%。
它提供了应对最大规模DDoS攻击所必需的可扩展性。
当攻击发生时,Kona DDoS Defender会自动转移SYN或UDP泛洪,
并吸收网络边缘的HTTP GET和POST泛洪,以防止其到达核心应用程序。
G-Core 实验室
G-Core Labs的全球DDoS防护服务
可以保护您的站点、服务器和应用程序免受高级DDoS攻击。
它在三层提供保护——网络层(L3)、传输层(L4)和应用层(L7)。
独特的实时智能流量过滤技术使G-Core Labs DDoS防护能够同时分析统计数据、签名、技术和行为因素。
这使得该解决方案能够准确地检测和切断有害会话,而不是仅仅阻止IP地址。
您将获得实时机器人防护,以防止广告欺诈、解析和个人数据盗窃。
它们还将保护您免受漏洞利用尝试和手动黑客攻击您的网站,
而无需使用任何第三方SDK或修改您的应用程序代码。
该云平台在欧洲、北美、南美、亚洲和澳大利亚设有流量过滤系统,每个节点提供最低160Gbps的流量,总有效过滤带宽为1.5+ Tbps。
G-Core Labs 提供安全工具,例如针对每个查询的技术分析、实时资源分析、行为因素识别、查询验证等。
它还支持HTTPS,从不泄露您的SSL证书,误报率低于0.01%。公司提供99.9%的SLA。您还将获得负载均衡和24/7技术支持。
应用程序
AppTrana
提供针对已识别漏洞的即时保护,并确保针对DDoS和新兴安全威胁提供全天候保护。
- 基础设施保护(第3层和第4层)。
- 网站保护(第7层)。
- 完全托管的DDoS防护,具有24×7监控和安全专家,根据现场发现的警报和漏洞风险,实时无限制地自定义规则更新,以确保网站的可用性。
AppTrana的Global Threat Intelligence平台可确保持续、准确和最新的保护,以防御最新的威胁。
AppTrana DDoS防护
在AppTrana Advanced和Premium计划中可用。
您可以通过试用计划上手,享受应用扫描、Web应用防火墙、CDN等服务。
入职只需几分钟即可完成,过渡期间停机时间为零。
链接11
Link11
是一家领先的IT安全提供商,专注于为网站和IT基础设施提供DDoS防护。
由于人工智能的复杂应用,其基于云的防护解决方案始终能保证可用性。
该公司同时提供两种针对分布式拒绝服务(DDoS)攻击的解决方案,
其获得专利的360度保护可以保护关键网络基础设施或防御Web应用程序攻击。
已知载体的攻击缓解时间为零,未知载体的缓解时间不到10秒。
该解决方案不仅在攻击持续时间方面提供了无限的保护,
而且它还完全自动运行,并作为永久服务来消除人为错误。
此外,Link11运营自己的国际服务和24/7热线,即使在紧急情况下也可以为客户提供简单快捷的设置。
Link11安全运营中心(LSOC)定期发布报告
,内容与DDoS威胁形势中的新风险和趋势有关。
苏库里
Sucuri
提供DDoS缓解服务,可自动检测和阻止非法请求和流量。
Sucuri服务由基于云的网络提供支持,该网络能够缓解针对Web应用程序或大型网络的攻击。
借助机器学习技术并通过关联其全球网络中的数据,
Sucuri能够保护网站免受尚未发现的安全威胁。
DDoS缓解服务是一体化网站安全平台的一部分,其中包括恶意软件清除、黑客清理、黑名单监控和防火墙等。
它的三个计划提供不同级别的服务,从基本到企业,价格从每年199.99美元到每年499.99美元不等。
网络侦察兵
通过其Arbor威胁缓解系统(TMS)和可用性保护系统(APS),
Netscout
提供与其Arbor Sightline解决方案结合使用的产品套件,
可以以手术方式从客户网络中移除高达140 Tbps的DDoS攻击流量,而不会中断核心网络服务。
它适用于IPv4或IPv6基础设施,
能够通过移动应用程序阻止DDoS攻击,从而保护移动网络的性能和可用性。
Arbor APS提供了许多部署选项,包括本地设备、虚拟化解决方案和托管服务。
该解决方案提供了主动缓解功能,可以在已知和新出现的威胁影响应用程序可用性之前阻止它们,
这要归功于其自己的Atlas基础设施,该基础设施可以监视所有互联网流量的⅓。
Cloudflare
Cloudflare
的始终在线DDoS防护解决方案基于其不断学习的全球网络的智能。
该网络称为Anycast,跨越190多个城市,所有安全服务堆栈都在每个存在点运行。
这种基础架构使Cloudflare能够提供分层安全方法,
将许多DDoS功能(第3/4/7层、DNS放大/反射、SMURF、ACK等)整合到单个服务中。
从用户的角度来看,可以通过直观的界面控制DDoS解决方案,
让您只需单击几下即可快速保护在线资产。
Cloudflare定价计划涵盖了无限的缓解措施,
无论攻击的规模如何,都不会因峰值而受到惩罚,也不会产生额外或隐藏的成本。
堆栈路径
StackPath
使用的DDoS缓解技术涵盖所有攻击方法:
UDP、SYN和HTTP洪水,以及所有层:第3/4层(网络)和第7层(应用程序)。
65 Tbps的总网络容量保证了StackPath全球网络可以抵御最大规模的DDoS攻击,
最大限度地减少对受到攻击的在线服务的影响。
StackPath客户门户提供实时数据和见解,
允许用户分析攻击者的作案手法并即时创建策略。
高级用户还可以通过控制面板调整DDoS阈值设置,以使保护适应特定需求。
DDoS保护是StackPath提供的广泛边缘服务组合的一部分,其中包括边缘计算、边缘交付和边缘监控。
阿里巴巴
高防DDoS 专业版
by Alibaba 可以缓解高达10 Tbps的大容量攻击,并支持所有协议 TCP/UDP/HTTP/HTTPS。
您不仅可以使用Anti-DDoS来保护托管在阿里巴巴上的服务,
还可以保护托管在AWS、Azure、Google Cloud等平台上的服务。
如果您的应用程序托管在中国,那么可以提供安全保护的CBSP很少,而阿里巴巴是其中之一。
这不仅仅是为了降低风险,阿里巴巴Anti-DDoS解决方案可以帮助追踪攻击的来源。
费用基于使用情况,您可以完全控制为您的业务定制策略以降低成本。
AWS 盾牌
亚马逊提供DDoS防护服务,称为
AWS Shield,
特别适用于托管在AWS上的应用程序。
防护服务提供常时在线检测和在线自动缓解,无需AWS Support即可使用。
亚马逊在两种服务计划中提供AWS Shield:标准版和高级版。
AWS Shield 标准版可供所有AWS客户免费使用。
它可以防止最常见的DDoS攻击,这些攻击通常发生在网络堆栈的第3层或第4层。
高级版提供针对复杂的大规模DDoS攻击的检测和缓解,
以及实时可视化和AWS WAF(一种用于Web应用程序的防火墙)。
AWS Shield 高级版还提供对AWS DDoS 响应团队(DRT)的不间断访问和针对DDoS峰值的保护。
云铠
如果您在Google Cloud上托管应用程序,请尝试
云铠.
唯一的限制是它仅适用于Google Cloud HTTP(s)负载平衡器。
您将从Google经验中受益,以保护他们的服务,例如Gmail、YouTube、搜索等。
Cloud Armor的一些好处包括:
- 针对基础设施和应用程序的保护。
- 创建自定义规则。
- 基于IP和地理的访问控制。
- 强大的Stackdriver日志记录。
荚膜
Incapsula
提供全面的保护,以缓解来自第3、4和7层的任何类型的DDoS攻击。
- TCP SYN+ACK、FIN、RESET、ACK、ACK+PSH、碎片
- UDP
- 慢速读取
- 欺骗
- ICMP
- IGCP
- HTTP、连接、DNS 泛洪
- 暴力破解
- NX 域名
- 死亡之 Ping
- 以及更多…
它可以始终在线或按需提供,以检测和缓解所有攻击。
Incapsula网络由44个数据中心组成,容量超过6 Tbps。
如果您受到攻击并需要紧急支持以在几分钟内将风险降至最低,
那么您可以联系“遭到攻击”团队。
总结
如果附近所有房屋都安装了警报器,那么您也应该安装一个,否则您的房屋会成为窃贼的首选目标。
这同样适用于您的网站或Web应用程序:
您不希望它成为少数没有DDoS保护的网站之一,否则它很可能会很快受到攻击。
如果您希望您的在线业务长期保持活力和稳定,
那么针对DDoS的解决方案是一项合理且必要的投资。