DDoS（分布式拒絕服務(wù)）攻擊完全繞過防火墻安全和入侵防御系統(tǒng)，有可能關(guān)閉您的整個計算機系統(tǒng)和網(wǎng)絡(luò)。擁有適當?shù)腄DoS 保護是網(wǎng)絡(luò)安全管理的重要組成部分，但不同的緩解產(chǎn)品可能難以比較。

什么是 DDoS？

分布式拒絕服務(wù)攻擊使公司的服務(wù)器不堪重負，其 IT 無法處理大量流量。這有效地關(guān)閉了系統(tǒng)并阻止合法流量到達它。在最近的歷史中，IoT（物聯(lián)網(wǎng)）導(dǎo)致 DDoS 攻擊的有效性不斷提高，因為 IoT 設(shè)備通常不受保護，并且是攻擊者增加其 DDoS 攻擊規(guī)模的有用工具。

由于不同的 DDoS 保護可以不同地處理它們，因此了解三種主要類型的 DDoS 攻擊很重要：

• 洪水/體積攻擊：這是一種圍繞著大量流量的攻擊，占用了您互聯(lián)網(wǎng)連接的整個帶寬。
• 資源匱乏攻擊：這是一種更有針對性的攻擊，它使用特定類型的流量來嘗試使您的操作系統(tǒng)或網(wǎng)絡(luò)堆棧崩潰/
• 應(yīng)用程序攻擊：這是另一種有針對性的攻擊，這一次工作在 OSI 模型的第 7 層，特定流量會導(dǎo)致您的應(yīng)用程序或它所在的服務(wù)器崩潰。

攻擊者出于多種原因會對公司使用 DDoS 攻擊，但最常見的動機是：

• 使用 DDoS 攻擊來掩蓋另一次攻擊 - 惡意軟件和木馬通常與 DDOS 攻擊相結(jié)合進行傳遞。然后可以通過多種方式（竊取數(shù)據(jù)、勒索軟件攻擊等）使用這種滲透來進一步攻擊公司的系統(tǒng)。
• 破壞競爭 - 公司可以利用 DDOS 工具對其競爭對手發(fā)起攻擊，關(guān)閉他們的業(yè)務(wù)，直到攻擊可以停止。
• 腳本小子 - 嘗試使用可用的免費 DDoS 工具的孩子將關(guān)閉公司的系統(tǒng)，只是為了證明他們可以。他們對目標公司沒有任何惡意，但同樣具有破壞性。

什么是 DDoS 防護？

DDoS 緩解是一種專業(yè)的解決方案，可以防止 DDoS 攻擊，可以有多種形式，但最常見的是：

• DDoS 緩解設(shè)備：您從供應(yīng)商處購買此保護并將其安裝在系統(tǒng)前面以過濾流量。最初安裝它們相對便宜，但是如果您的系統(tǒng)增長，它們將需要進一步的投資，并且它們很容易被超出您的帶寬容量的洪水攻擊所淹沒。（一些數(shù)據(jù)中心將把它作為他們最便宜的 DDoS 解決方案提供，但如果它是一個以設(shè)備為主導(dǎo)的解決方案，這就是他們將提供的。）
• 來自 ISP 的 DDos 服務(wù)：互聯(lián)網(wǎng)服務(wù)提供商還可以通過過濾所有傳入流量來為其客戶提供 DDoS 解決方案。這可能非常有效且具有成本效益，因為它甚至在到達您的 IT 系統(tǒng)之前就過濾了所有流量，但在防止針對您的應(yīng)用程序或您使用多個 ISP 的某些攻擊方面存在嚴重限制。
• 來自您的數(shù)據(jù)中心的 DDoS 保護：這種保護非常適合洪水攻擊，因為數(shù)據(jù)中心配備了足夠的資源來處理流量，并且具有由已經(jīng)負責(zé)您的 IT 基礎(chǔ)設(shè)施的工程師安裝的額外好處。它也成為您 IT 現(xiàn)有運營成本的一部分。
• 來自第三方/云服務(wù)提供商 (CSP) 的 DDoS 保護：第三方可以代表您保護您的 IP 地址，這意味著您的互聯(lián)網(wǎng)流量首先到達他們的網(wǎng)絡(luò)，他們可以對其進行過濾。這個 DDoS 保護系列正在興起，因為云資源可以按需大規(guī)模擴展。

如您所見，DDoS 保護選項種類繁多，您的最終選擇取決于您的風(fēng)險狀況和預(yù)算，但仍有一些標準可用于比較不同類型的保護。

良好的 DDoS 緩解有哪些要求？

有效的 DDoS 防護需要能夠識別 DDoS 攻擊中的攻擊流量并將其過濾掉。它的效果取決于您可以用來比較不同類型的 DDoS 保護的三個因素。

1. 容量

隨著時間的推移，DDoS 攻擊只會變得越來越強大，您的 DDoS 保護需要能夠應(yīng)對其發(fā)送的流量。據(jù)報道，超過 1Tbps的 DDoS 攻擊，雖然您可能不需要那么多容量，但 Comparitech 的研究表明，目前平均 DDoS 攻擊超過 1Gbps。確保您的 DDoS 保護具有超過 1Gbps 的標準容量，但如果您受到更大的攻擊，還具有擴展能力。

2. 保護每一層攻擊

DDoS 攻擊可以有多種形式，具體取決于它們?nèi)绾畏糯罅髁恳约八鼈冇脕韷旱鼓繕擞嬎銠C系統(tǒng)的方式。這些不同類型的攻擊根據(jù)它們攻擊的數(shù)據(jù)傳輸過程的哪一層進行標記。您的 DDoS 保護應(yīng)涵蓋可能的 DDoS 攻擊的每一層，否則您將承擔(dān)不必要的風(fēng)險。

3.響應(yīng)速度

如果不開啟，即使是世界上最好的 DDoS 防護也無法保護您。您的 DDoS 緩解提供商需要向您展示其激活過程是什么，并且它會迅速發(fā)生以避免中斷。

一個“永遠在線”的解決方案就是上面所說的：進入您系統(tǒng)的所有流量都被您的 DDoS 保護過濾，因此攻擊在它開始的那一刻就得到了緩解。然而，這是一種資源密集型的運營方式，并且伴隨著成本。

雖然“始終在線”是 DDoS 緩解的理想部署，但您需要的最低要求是讓您的 DDoS 保護提供商展示在攻擊開始時快速部署 DDoS 保護的能力，并且不會讓您容易受到攻擊。

您應(yīng)該為 DDoS 緩解支付多少費用？

DDoS 防護包可以通過多種方式涵蓋上述三個因素，因此 DDoS 緩解有多種價位。但是，“一分錢一分貨”的一般規(guī)則在這里適用，您應(yīng)該檢查提供給您的任何廉價 DDoS 緩解措施的規(guī)范，了解它們?nèi)绾翁幚砣齻€因素：容量、層保護和速度的回應(yīng)。DDoS 保護的廉價選項（如緩解設(shè)備）的容量很可能比其他選項低得多，這意味著它無法處理與其他選項相同規(guī)模的洪水攻擊。

確定 DDoS 保護中的標準內(nèi)容，以及僅以額外費用提供的內(nèi)容。如果您選擇了廉價的 DDoS 保護包，然后攻擊超出了它的能力，您可能會被迫向您的提供商支付高額費用以應(yīng)對攻擊。您最終可能會被收取額外費用的事情包括：

• DDoS 攻擊每秒傳輸?shù)臄?shù)據(jù)超過您的保護能力
• 一個月內(nèi)的幾次 DDoS 攻擊，任何規(guī)模，都可能不在您的套餐中

DDoS 保護的固定費率費用將保護您免受這種情況的影響，因為無論您受到多少 DDoS 攻擊或其規(guī)模大小，您每個月都將被收取標準金額。

如何選擇合適的 DDoS 防護？

任何公司都有可能成為 DDoS 攻擊的受害者，因此確保 DDoS 保護到位很重要。您應(yīng)該選擇的保護級別取決于您的客戶和您的員工失去對您系統(tǒng)的訪問權(quán)限的破壞性程度。

獲得 DDoS 保護的最便捷方法是讓您的數(shù)據(jù)中心提供商為您安裝一個，因為他們已經(jīng)處理了您的網(wǎng)絡(luò)連接。他們將向您解釋他們不同選項的功能，以及他們?nèi)绾翁幚砣齻€關(guān)鍵因素。在選擇托管 IT 的位置時，數(shù)據(jù)中心可以提供的 DDoS 保護絕對是一個需要考慮的因素。