如何選擇合適的 DDoS 防禦服務

如果你沒有對自己的站點採取一些必要的保護措施，將會使它直接暴露於 ddos 攻擊的風險下且無任何招架之力。你應該對法國**日 knocked out **被 ddos 攻擊和 2016 年十月份時候美國 dns 伺服器被 ddos 導致無法訪問 new york times 和 wired **的事情還有印象。通過過去這些案例，我們可以了解到 ddos 其實就是攻擊者利用分布在全球各地的肉雞對目標伺服器發起巨量的非正常請求，使得目標伺服器忙於處理這些非正常請求而無法處理正常請求，從而達到破壞的目的。

但如今的 ddos 攻擊手段也在不斷發展，它們從過去只是簡單的干擾防火牆和 dns 伺服器，進化成了可以精確攻擊企業內部的裝置和網路應用，從而造成巨大的損失。

應用層 ddos 攻擊

不同於網路層的 ddos，應用層 ddos 的特點是它們能用更少的流量來達成破壞的目的。應用層的活動需要不斷地向應用程式發出呼叫，如**、web應用程式、伺服器和外掛程式等，攻擊者通過占用其所駐留的伺服器資源來使應用程式變慢或者停止。

面向internet的web應用程式容易受到大量攻擊，如跨站點指令碼攻擊(xss)和sql注入攻擊。應用層攻擊也不同於常見的邊界攻擊或者網路層攻擊，攻擊者常通過使用特定命令來將應用程式關閉並占用其伺服器資源。

舉個例子，在過去連續四個季度，incapsula 公司記錄了網路層攻擊數量從2023年的568起減少到了269起。與此同時，應用層攻擊卻一直在增加，甚至達到了每週 1099 次。

安全專家**，網際網路企業每年至少都會遭遇一次 ddos 攻擊。imperva 負責市場營銷的副總裁蒂姆·馬修斯(tim matthews)在接受《黑暗閱讀》(dark reading)採訪時說:「這(遭受 ddos 攻擊)只是時間問題」

應用層 ddos 攻擊數量激增的原因有兩方面。

首先，應用程式的數量正在增加。在2023年，半數接受調查的組織表示，他們有意向發布和維護自己的應用程式。

ddos 攻擊增多的另乙個原因主要是由於黑客和有攻擊意向的黑客擁有了更多的資源。在過去，黑客想要建立乙個殭屍網路或者肉雞群去攻擊某些特定資源成本是非常高的。現在，任何人只要花很少的錢甚至免費，就可以在暗網上獲取到攻擊軟體，或者可以用很低廉的價錢，就可以僱個人為他們做攻擊軟體。在2023年的時候就已經有學生在嘗試這些事情了。

成本任何 ddos 攻擊都會損害客戶利益，最終導致企業聲譽受損，客戶並不關心他們遭受了哪種ddos，他們只知道他們不能正常使用了。例如，今年2月，黑客 ddos 攻擊了一所美國大學。這次攻擊造成了超過兩天的網路中斷，學生、家長和員工都無法登入學校**。結果那所學校就只能關閉了。

可能對於上面例子的學校來說，經濟損失難以量化，但對於一家銷售產品的企業來說，它的經濟損失就會很快上公升。以美元為例，乙個小時的停機時間可能要花2萬美元。這還沒有計算對企業的聲譽損失和未來銷售的軟成本。畢竟，使用者可能會懷疑，你們連自己都沒法保護好，怎麼相信你們能把我們的資料保護好呢。

--advertisement--

開發需要乙個安全的應用環境。

綜合考慮 ddos 攻擊數量的激增、發起攻擊的低成本以及攻擊對業務造成的巨大影響，很明顯，開發人員需要為攻擊做好準備。

但就像大多數 it 企業一樣，開發將安全視為實現目標的障礙。根據 gartner 的說法，注重安全策略會讓開發人員產生一種受阻礙的感覺。更糟糕的是，大多數開發人員在學校沒有學習安全編碼，如果他們不考慮安全性，就會讓應用程式更容易受到攻擊。

garner 還提出說，開發人員需要改變他們的習慣。他說道，「資訊保安架構師必須以協作方式將多個點的安全性整合到開發運維工作流程中，這對開發人員來說應該是透明的，保持了開發的敏捷性和安全性。

如何為您的**選擇 ddos 保護服務

現在正是購買 waf 的時候，但是市場上有太多的選擇。並不是所有的 waf 和適用情況都是一樣的。大家的需求都不太一樣。大多數 waf 都是基於雲的，可以在幾分鐘內部署使用起來。

以下是一些你在選購 waf 之前應該弄清楚的問題：

ddos 方案是否是眾包的?

使用眾包技術可以快速對整個客戶群體建立保護。然後把每次遇到的攻擊情況收集起來建立乙個威脅資訊資料庫，可以使用大資料分析這些威脅資訊。

服務提供商的市場份額有多少?

並不是說份額最大的就是最好的，但是當我們需要利用眾包的時候，越大的客戶群體，對降低攻擊風險越有幫助。

waf 是否經過pci ssc認證?

支付行業(pci)安全標準委員會是乙個與**商無關的機構，它向證明遵守其12個 pci 資料安全標準的**商提供認證。

ddos 只在 prem 上嗎

雖然專用的 ddos 安全裝置可以防止應用程式 ddos 攻擊，但它們不能處理大規模的容量攻擊——如超過 200 gbps 的攻擊。為了消除停機時間，必須在到達網路之前阻止這種容量的攻擊。雖然在某些情況下，有乙個on prem box可能很有用，但是請確認一下服務提供商是否有云解決方案來進行補充。

您的 waf 是否需要進行行為異常檢測?

異常檢測是利用資料分析檢測不符合資料集中期望模式或結果的一種手段。這種檢測通常用來檢測訪問者是否人類

你打算部署之後就不管了嗎?

只要有足夠的持續攻擊時間，任何攻擊者都可以找到進入網路的方法。人們需要及時意識到從而轉變策略。人工智慧是好的，但在人類智慧型的輔助下才能更好

有一種被稱為五環方法的應用層 ddos 防禦方法幫助上述美國大學迅速減輕攻擊。incapsula 是該解決方案的提供商。工程師們在攻擊者改變攻擊策略的時候同樣也進行了調整，使攻擊得到了控制。

ddos 通常被用於敲詐、勒索、報復，或者僅僅是為了取樂。那些不保護自己**的開發者將會成為犯罪分子的工具。就像 incapsula 的蒂姆·馬修斯說的，「這只是個時間問題。」

譯文出處：

如何選擇合適的 DDoS 防禦服務

如何選擇最合適的DDoS高防服務

如何選擇最合適的DDoS高防服務

如何防禦ddos ？

如何選擇合適的 DDoS 防禦服務

如何選擇最合適的DDoS高防服務

如何選擇最合適的DDoS高防服務

如何防禦ddos ？

相關推薦