什么是DDoS緩解？

DDoS 緩解是指成功保護目標服務器或網(wǎng)絡以抵御分布式拒絕服務 (DDoS) 攻擊的過程，目標受害者可以使用專門設計的網(wǎng)絡設備或基于云的保護服務緩解傳入的威脅。

為什么需要DDoS緩解解決方案？

由于網(wǎng)絡構(gòu)成的基本邏輯，導致在線破壞者在拒絕服務的策略上占據(jù)優(yōu)勢，他們可以通過讓您的業(yè)務離線幾分鐘、幾小時或幾周，來實現(xiàn)相關的攻擊操作。根據(jù)國際知名殺毒軟件卡巴斯基的相關報告，DDoS攻擊平均使企業(yè)損失超過200萬美元。

DDoS攻擊的有形成本包括

安裝應用程序并重新運行的成本

應用程序不可用時客戶的收入損失

勒索，以防黑客要求

無形資產(chǎn)包括

品牌聲譽

失去客戶信任影響未來銷售

以DDoS緩解解決方案的形式添加安全控制可以降低DDoS損壞的風險。

緩解解決方案的幾個關鍵好處是：

將業(yè)務風險降至最低并減少停機時間

在不影響質(zhì)量的情況下，最大限度地降低與web安全相關的成本

保護網(wǎng)站和應用程序性能吞吐量攻擊

基于安全規(guī)則防御現(xiàn)有和新的威脅

使用最新的安全策略防止不斷發(fā)展的攻擊

DDoS緩解如何工作？

DDoS緩解通過識別和阻止攻擊流量的來源來工作，例如使用防火墻規(guī)則或速率限制。此外，DDoS保護解決方案在攻擊流量到達受保護的網(wǎng)絡或網(wǎng)站之前吸收和過濾攻擊流量。這些解決方案通常使用流量整形、過濾和將流量重定向到清理中心，在那里分析和過濾攻擊流量。

DDoS抵御解決方案分四個階段工作：

1吸收

抵御DDoS攻擊的第一步是吸收攻擊，這樣可以保護系統(tǒng)不會停機。所以無論您選擇什么解決方案，第一要務是了解應用程序每分鐘的請求和并發(fā)IP有多少，進行多次測試是至關重要的。通常來說火傘云認為基于云的DDoS保護解決方案更好，因為它們具有自動擴展功能。本地服務方案由于服務器數(shù)量的限制，內(nèi)部部署解決方案顯得力不從心。

2檢測

下一步是檢測它是否是有效的DDoS攻擊，解決方案應該能夠告訴：

URI級別有多少個請求？

來自IP的請求數(shù)量？

會話/主機級別有多少個請求？

整個域中有多少個請求？

3預防

下一步是防止攻擊傳遞到應用程序。DDoS保護解決方案識別攻擊向量并阻止使用這些攻擊向量發(fā)出的請求，然后，該解決方案檢測各種多向量攻擊。人工智能在DDoS攻擊防范中發(fā)揮著重要作用。理想情況下，緩解解決方案應能夠使用過去的數(shù)據(jù)并預測現(xiàn)場行為。在任何時間點，解決方案都應該能夠盡可能詳細地建議和應用“速率限制”。這些包括URI、會話/主機、IP和域速率限制。

4報復

報復是WAF供應商提供的“托管服務”或DDoS保護服務的一大亮點。雖然人工智能可以建議速率限制，甚至應用“阻止規(guī)則”，但擁有DDoS緩解解決方案將在很大程度上減少誤報。畢竟，從根本上講，DDoS攻擊看起來像是合法請求。

DDoS抵御解決方案分兩個階段工作：

監(jiān)視：托管服務團隊監(jiān)視所有傳入警報。例如，假設通常每分鐘訪問一次的圖像文件突然每分鐘訪問100次?？偟膩碚f，在站點級別，它是請求的一個小增量。然而，人工智能將提醒托管服務團隊和應用程序所有者。

緩解：第二步是緩解。在分析了所有趨勢（包括每分鐘請求數(shù)、惡意IP等）后，解決方案提供商團隊應該能夠添加手術(shù)速率限制規(guī)則。還應添加其他緩解機制，包括tarpitch、CAPTCHA等。

DDoS抵御解決方案的關鍵功能

以下是基于行為的DDoS保護的高級功能，可提供針對復雜DDoS攻擊的終極保護。

1速率限制

速率限制是DDoS攻擊緩解方法的標準功能，它使您能夠限制來自某些IP的流量。它有助于阻止應用程序、用戶或機器人程序過度使用您的資源。??除了靜態(tài)速率限制外，解決方案還應該能夠基于應用程序的行為配置策略。如果出現(xiàn)異常，解決方案應該能夠觸發(fā)警報。

2顆粒水平控制

DDoS緩解解決方案使您能夠添加細粒度配置，以使用自定義策略防止攻擊。用戶可以基于Geo、URI、IP標頭以及源和目標IP定義策略。理想情況下，這些策略的閾值應通過基于行為的流量分析自動配置。也就是說，營銷活動可能會產(chǎn)生突發(fā)請求，利用托管服務團隊進行DDoS保護將有助于減少誤報。

3全球控制

IP白名單和黑名單在管理內(nèi)部服務器請求和來自實際用戶的請求方面發(fā)揮著關鍵作用。

將特定IP地址或國家/地區(qū)列入黑名單和白名單非常重要，原因如下：

您不希望應用程序的某些部分在特定國家/地區(qū)工作

您不想使應用程序的某些部分可供公眾訪問

您希望允許優(yōu)秀的機器人程序訪問您的應用程序

您有向生產(chǎn)服務器發(fā)出異常高請求的內(nèi)部服務器；它們既不應被WAF阻止，也不應改變行為DDoS速率限制策略

鑒于要管理的IP列表，安全管理員管理每個應用程序的多個文件中的黑名單和白名單記錄變得很有挑戰(zhàn)性。使用全局控制，用戶可以在單個儀表板中查看所有黑名單/白名單IP或國家/地區(qū)的狀態(tài)，并修改相同的狀態(tài)?；饌阍埔哺M一步；它允許您在所有應用程序中批量輸入IP地址/國家/地區(qū)到黑名單/白名單，而不是需要您挨個進行自定義輸入。它還允許您覆蓋這些全局規(guī)則，并為特定應用程序修改一些規(guī)則。

不僅僅是IP，而是IP范圍。在火傘云DDOS解決方案中，您甚至不必單獨輸入所有IP地址；如果您有一組需要列入黑名單/白名單的IP地址，您可以通過簡單地提及它們來輸入這樣的IP地址系列。

例如，192.168.1.1/24將阻止192.168.3.1、192.168.2.2、192.188.1.3….到192.1680.124的所有IP地址，從上述選擇中沒有規(guī)則將應用于IP 192.1681.25。

不僅如此，火傘云還允許安全管理員審查所有黑名單和白名單操作，并幫助調(diào)試任何安全漏洞。

4自動擴展性

大多數(shù)DDoS攻擊都會創(chuàng)建大量流量來耗盡資源容量。有時，當流量和網(wǎng)絡規(guī)模擴大時，預防就失去了控制。因此，緩解過程失敗。DDoS保護解決方案利用了高度可擴展的基礎架構(gòu)。這樣他們就可以根據(jù)必須處理的數(shù)據(jù)量增加流量。

例如，火傘云旨在吸收最大的DDoS攻擊。它利用華為云的DDOS基礎架構(gòu)來阻止大型攻擊流量。在啟用自動縮放的同時，我們評估了10000個并發(fā)IP中高達2.3 TBps的DDoS攻擊。

5監(jiān)控和警報

DDoS緩解解決方案應能夠持續(xù)監(jiān)控以您的資源為目標的潛在攻擊，并能夠向應用程序所有者/或托管服務團隊發(fā)送實時警報，以監(jiān)視攻擊，并在需要時采取任何糾正措施。警報可以突出顯示被攻擊的域、攻擊的協(xié)議、會話詳細信息、用戶代理、地理位置、IP以及有助于區(qū)分有效請求和無效請求的任何其他信息，此功能大大減少了檢測和阻止DDoS攻擊所需的時間。

6內(nèi)容交付網(wǎng)絡

DDoS保護服務可以通過啟用CDN來減輕源服務器的負載。當接收到請求時，CDN服務器將使用所請求頁面的緩存版本進行響應。在DDoS攻擊的情況下，CDN可以通過將攻擊流量重定向到多個服務器來吸收和分發(fā)攻擊流量，這有助于防止攻擊流量壓倒源服務器并導致網(wǎng)站不可用。DDoS解決方案在保護源服務器的同時保護和加速站點的性能。

7BOT保護

黑客通常創(chuàng)建機器人軍隊來發(fā)起DDoS攻擊，高級DDoS保護的多層架構(gòu)配備了機器人程序保護策略。?現(xiàn)如今，機器人正在使用狡猾的技術(shù)偽裝成正常機器人（比如百度或谷歌機器人），因為黑客知道baidubot/Googlebot是一個所有企業(yè)都會被列入白名單的機器人。

例如，BOT偽裝者策略有助于檢測和阻止假裝是有用的機器人的惡意機器人。

8更廣泛的可見性

DDoS保護不僅僅用于阻止攻擊。該解決方案必須為用戶提供有關攻擊的重要見解和分析。您可以查看按IP和URL分類的攻擊統(tǒng)計信息。

緩解報告包括流量統(tǒng)計、前5名IP、前5個國家和前5個URI。深度可見性簡化了取證，并確保準確的DDoS抵御。