DDoS攻擊是一種安全威脅，其目的是破壞應(yīng)用程序、網(wǎng)站、服務(wù)器和路由器等網(wǎng)絡(luò)資源，從而給受害者造成重大損失。但是，可以通過(guò)實(shí)施安全最佳實(shí)踐和提前準(zhǔn)備來(lái)預(yù)防，例如強(qiáng)化網(wǎng)絡(luò)、配置資源、部署強(qiáng)大的保護(hù)措施、提前規(guī)劃和主動(dòng)監(jiān)控網(wǎng)絡(luò)。

1. 防范DDoS攻擊

通用和分層網(wǎng)絡(luò)安全防御的標(biāo)準(zhǔn)安全最佳實(shí)踐可以對(duì)DDoS攻擊提供合理的保護(hù)。然而，一些具體措施，如漏洞修補(bǔ)和IT強(qiáng)化，可以提供更好的保護(hù)。

補(bǔ)丁和更新資源

所有資源都應(yīng)修補(bǔ)并完全更新。為了有效防御 DDoS，修補(bǔ)和更新的優(yōu)先級(jí)應(yīng)放在最有價(jià)值的資源和互聯(lián)網(wǎng)之間的設(shè)備上，例如防火墻、網(wǎng)關(guān)、網(wǎng)站和應(yīng)用程序。IT 團(tuán)隊(duì)還應(yīng)執(zhí)行以下操作：

• 執(zhí)行漏洞掃描:定期使用漏洞掃描工具來(lái)發(fā)現(xiàn)任何問(wèn)題，例如缺少更新、補(bǔ)丁或配置錯(cuò)誤。漏洞可能由被忽視的補(bǔ)丁和過(guò)時(shí)的軟件引起。
• 實(shí)施補(bǔ)丁管理：創(chuàng)建一個(gè)流程，定期對(duì)您的設(shè)備和應(yīng)用程序進(jìn)行優(yōu)先排序、測(cè)試和部署更新和補(bǔ)丁，以確保它們保持最新且沒(méi)有錯(cuò)誤或沖突。

強(qiáng)化應(yīng)用程序

可以通過(guò)更改網(wǎng)絡(luò)、使用應(yīng)用程序安全工具或滲透測(cè)試來(lái)探測(cè)漏洞、錯(cuò)誤配置或編碼疏忽來(lái)增強(qiáng)應(yīng)用程序和網(wǎng)站的安全性。應(yīng)特別注意可能導(dǎo)致各種 DDoS 攻擊的攻擊。

例如，添加驗(yàn)證碼來(lái)驗(yàn)證網(wǎng)站上的人機(jī)交互可以防止攻擊者使用機(jī)器人發(fā)送大量請(qǐng)求，這些請(qǐng)求可能會(huì)壓垮并導(dǎo)致服務(wù)器崩潰。

鎖定IT基礎(chǔ)設(shè)施

通過(guò)更改設(shè)置、調(diào)整配置、消除不必要的功能以及安裝提供額外網(wǎng)絡(luò)安全的可選功能，可以增強(qiáng)服務(wù)器、網(wǎng)關(guān)、防火墻、路由器和其他 IT 基礎(chǔ)設(shè)施的防御攻擊能力。

強(qiáng)化包括但不限于：

• 阻止網(wǎng)絡(luò)端口：阻止服務(wù)器和防火墻上未使用的端口。
• 限制訪問(wèn)：限制某些協(xié)議只能在內(nèi)部網(wǎng)絡(luò)上的設(shè)備使用。
• 啟用速率限制：設(shè)置或降低速率限制閾值，以便在另一臺(tái)計(jì)算機(jī)無(wú)法回復(fù)或發(fā)出重復(fù)請(qǐng)求時(shí)丟棄數(shù)據(jù)包。
• 阻止半開(kāi)連接：?jiǎn)⒂冒腴_(kāi)連接的超時(shí)。
• 設(shè)置防火墻規(guī)則：配置您的防火墻以檢測(cè)并刪除欺騙、格式不正確或格式錯(cuò)誤的軟件包。

例如，DNS 服務(wù)器可能成為攻擊者的特定目標(biāo)，并且容易受到各種類型的攻擊。如果組織不使用 DNS 服務(wù)器，則應(yīng)阻止對(duì)端口 53 (DNS) 的 UDP 訪問(wèn)。

2.部署防DDoS架構(gòu)

除了強(qiáng)化之外，IT 架構(gòu)還可以設(shè)計(jì)為更具彈性和安全性，以抵御 DDoS 攻擊。過(guò)度配置基礎(chǔ)設(shè)施、備份系統(tǒng)、創(chuàng)建冗余、隱藏潛在 DDoS 目標(biāo)并隔離易受攻擊的設(shè)備的 IT 團(tuán)隊(duì)可以限制 DDoS 攻擊的有效性并增強(qiáng)整體彈性。

• 超額配置基礎(chǔ)設(shè)施：在構(gòu)建網(wǎng)絡(luò)和設(shè)備時(shí)，估算帶寬，然后設(shè)計(jì) 200-500% 的基線需求。雖然這可能很昂貴，但額外的資源可以贏得時(shí)間應(yīng)對(duì) DDoS 攻擊。
• 備份關(guān)鍵組件：冗余設(shè)備或備份設(shè)備是彈性架構(gòu)所必需的，可用于在 DDoS 攻擊后快速恢復(fù)系統(tǒng)。定期更新數(shù)據(jù)，并僅在攻擊停止后才將其上線。
• 添加冗余：考慮冗余選項(xiàng)，例如將防火墻與路由器分開(kāi)、將資源移動(dòng)到云端以及在多個(gè)數(shù)據(jù)中心之間分配流量，以避免出現(xiàn)瓶頸或易受 DDoS 攻擊的單點(diǎn)故障。
• 模糊目標(biāo)：模糊性使攻擊更加困難。通過(guò)阻止 ICMP 或 ping 請(qǐng)求并添加額外的安全層（如虛擬專用網(wǎng)絡(luò) (VPN)或安全 Web 網(wǎng)關(guān) (SWG)）來(lái)隱藏 IP 地址，保護(hù)您的內(nèi)部網(wǎng)絡(luò)。
• 隔離資源：內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN) 或 Anycast 網(wǎng)絡(luò)將資源發(fā)送到不同的位置和 IP 地址，從而降低 DDoS 攻擊的有效性。您還可以利用網(wǎng)絡(luò)分段和訪問(wèn)控制列表。

3.安裝防DDoS工具

除了強(qiáng)化和設(shè)計(jì)之外，組織還可以根據(jù)其需求和預(yù)算獲取工具、下載和安裝補(bǔ)丁或啟用專門防御 DDoS 攻擊的功能。其中包括：

• 反 DDoS 功能：請(qǐng)咨詢您的設(shè)備制造商，了解是否有任何針對(duì) DDoS 的功能或補(bǔ)丁可以安裝在服務(wù)器等設(shè)備上以防御攻擊；例如 Apache 2.2.15 中的 mod_reqtimeout 模塊可以防御 Slowloris 攻擊。
• 路由器和網(wǎng)關(guān)：路由器和網(wǎng)關(guān)通常具有可啟用以緩解 DoS 攻擊的高級(jí)功能。網(wǎng)絡(luò)管理員或安全團(tuán)隊(duì)可以在設(shè)備的管理控制臺(tái)中找到這些功能并根據(jù)需要啟用它們。
• 速率限制：可以在網(wǎng)絡(luò)設(shè)備上配置響應(yīng)速率限制器 (RRL) 來(lái)阻止各種 DDoS 攻擊，例如阻止來(lái)自同一 IP 地址的多個(gè)相同請(qǐng)求或丟棄多個(gè)沒(méi)有響應(yīng)的 TCP 請(qǐng)求。

需要注意的是，強(qiáng)化安全性不應(yīng)過(guò)度到破壞有用協(xié)議的功能的程度。例如，確保更新和補(bǔ)丁不會(huì)與網(wǎng)絡(luò)上的其他系統(tǒng)發(fā)生沖突，或者不是阻止或丟棄來(lái)自所有來(lái)源的數(shù)據(jù)包，而是將 ICMP 限制在組織內(nèi)部的允許列表IP 地址上，以啟用該功能，同時(shí)阻止外部 DDoS 攻擊。

其他 DDoS 保護(hù)：防火墻、設(shè)備和服務(wù)

雖然有些防火墻可以單獨(dú)阻止 DDoS 攻擊，但其他防火墻則需要幫助。防火墻傳統(tǒng)上構(gòu)成了抵御外部攻擊的初始防御，而現(xiàn)代防火墻可以阻止許多較舊且簡(jiǎn)單的 DDoS 攻擊，例如 IP Null 攻擊或 ACK Fragmentation Floods。但是，防火墻無(wú)法阻止偽裝成正常流量（HTTP GET、HTTP POST 等）的攻擊，并且可能會(huì)被容量耗盡攻擊所淹沒(méi)。

應(yīng)采取額外保護(hù)措施來(lái)保護(hù)暴露或關(guān)鍵資源，例如暴露在互聯(lián)網(wǎng)上的應(yīng)用服務(wù)器或 DNS 服務(wù)器和服務(wù)。各種供應(yīng)商都提供在防火墻或硬件中添加反 DDoS 功能的軟件，專門用于防范 DDoS 攻擊。

此外，組織可以與基于云的 DDoS 解決方案提供商（例如 Akamai、Cloudflare 和 Amazon Web Services）合作，提供企業(yè)全方位解決方案。

4. 設(shè)計(jì) DDoS 響應(yīng)手冊(cè)

在建立起經(jīng)過(guò)強(qiáng)化和更新的 IT 基礎(chǔ)設(shè)施并采用反 DDoS 架構(gòu)和工具進(jìn)行保護(hù)后，IT 和安全團(tuán)隊(duì)需要?jiǎng)?chuàng)建 DDoS 策略手冊(cè)。如果發(fā)生 DDoS 攻擊，正式文檔可以協(xié)助響應(yīng)團(tuán)隊(duì)。

應(yīng)對(duì)計(jì)劃可能包括：

• 致電對(duì)象：響應(yīng)團(tuán)隊(duì)成員、適用供應(yīng)商（如互聯(lián)網(wǎng)服務(wù)和托管提供商）、專業(yè)事件響應(yīng)和安全供應(yīng)商、高管和法律顧問(wèn)的聯(lián)系信息。
• 基礎(chǔ)設(shè)施信息：網(wǎng)絡(luò)詳細(xì)信息，例如 IP 地址、故障轉(zhuǎn)移設(shè)備、網(wǎng)絡(luò)地圖等。
• 行動(dòng)計(jì)劃：發(fā)生 DDoS 攻擊時(shí)應(yīng)采取的步驟。

每年至少演練一次響應(yīng)計(jì)劃，并定期檢查以確保劇本中的所有聯(lián)系信息仍然準(zhǔn)確。劇本中的某些元素甚至可能由某些反 DDoS 工具自動(dòng)執(zhí)行，因此可以實(shí)施額外的安全措施，以在人們做出反應(yīng)之前更快地降低 DDoS 攻擊的危險(xiǎn)。

5.部署DDoS監(jiān)控

有了堅(jiān)固的基礎(chǔ)設(shè)施和有效的劇本，IT 團(tuán)隊(duì)和安全團(tuán)隊(duì)就可以使用不同的監(jiān)控工具來(lái)觀察正在進(jìn)行的 DDoS 攻擊的跡象。以下是一些可用于監(jiān)控資產(chǎn)的工具：

• 網(wǎng)絡(luò)監(jiān)控： 網(wǎng)絡(luò)監(jiān)控工具是跟蹤端點(diǎn)、防火墻、路由器、交換機(jī)和服務(wù)器的行為、流量和健康狀況的硬件或軟件應(yīng)用程序。
• 安全監(jiān)控： 安全監(jiān)控工具收集和分析網(wǎng)絡(luò)和設(shè)備信息，以檢測(cè)可疑行為并向 IT 和安全團(tuán)隊(duì)觸發(fā)警報(bào)。

這些監(jiān)控工具將建立“正常”流量基線，以便異常流量模式生成警報(bào)。團(tuán)隊(duì)越早發(fā)現(xiàn)正在發(fā)生的事件，就能越快解決攻擊。

團(tuán)隊(duì)?wèi)?yīng)選擇適合資源的工具，并針對(duì) DDoS 攻擊的典型指標(biāo)（例如帶寬需求突然增加、流量異常增加或流量來(lái)源異常）設(shè)置警報(bào)。警報(bào)可以發(fā)送到安全事件和事件監(jiān)控 (SEIM) 工具、安全運(yùn)營(yíng)中心 (SOC)、托管檢測(cè)和響應(yīng) (MDR) 服務(wù)，甚至 DDoS 安全專家。

雖然自動(dòng)響應(yīng)可以縮短反應(yīng)時(shí)間并自動(dòng)阻止 DDoS 攻擊，但應(yīng)謹(jǐn)慎使用。誤報(bào)可能會(huì)導(dǎo)致操作中斷，因此安全團(tuán)隊(duì)仍需要評(píng)估警報(bào)。

三種基本的 DDoS 防御策略：優(yōu)點(diǎn)和缺點(diǎn)

在實(shí)施 DDoS 防御時(shí)，這些策略可以由 IT 團(tuán)隊(duì)手動(dòng)執(zhí)行，通過(guò)本地硬件或軟件購(gòu)買，或通過(guò)基于云或外部的工具和服務(wù)實(shí)施。雖然其中一些技術(shù)可以相互重疊或相互加強(qiáng)，但許多組織沒(méi)有資源來(lái)應(yīng)用多種解決方案，必須選擇一種適合其需求的解決方案。這些選項(xiàng)中的每一個(gè)都有明顯的優(yōu)缺點(diǎn)。

DIY DDoS 防御的優(yōu)缺點(diǎn)

自行部署防御措施肯定可以成功抵御 DDoS 攻擊。這些防御措施通常包括手動(dòng)部署開(kāi)源軟件、防火墻和服務(wù)器的設(shè)置。

例如，手動(dòng)將 IP 地址添加到拒絕列表可能很容易，但通常會(huì)落后于不斷移動(dòng)和發(fā)展的攻擊；特別是在面對(duì)數(shù)千個(gè)端點(diǎn)的僵尸網(wǎng)絡(luò)時(shí)，手動(dòng) IP 拒絕列表變得難以承受。

本地防御工具/服務(wù)的優(yōu)缺點(diǎn)

組織可以購(gòu)買專門用于防御 DDoS 攻擊的設(shè)備和軟件。這些工具可以部署在要保護(hù)的資源（防火墻、服務(wù)器等）前面，也可以安裝在資源本身上。

以前面的例子來(lái)說(shuō)，設(shè)備或本地防火墻應(yīng)用程序可能根據(jù)供應(yīng)商的經(jīng)驗(yàn)預(yù)先加載了知名僵尸網(wǎng)絡(luò) IP 地址列表。此黑名單將比 DIY 列表更全面，但將成為更昂貴解決方案的一部分，并且需要定期更新。

基于云的防御工具/服務(wù)的優(yōu)缺點(diǎn)

基于云的 DDoS 保護(hù)工具為整個(gè)組織提供了更全面的安全保護(hù)。云托管工具通常被稱為軟件即服務(wù) (SaaS)。如果可能的話，基于云的工具是三者中最好的選擇。

使用 IP 拒絕列表示例，SaaS DDoS工具通常預(yù)先加載了知名惡意僵尸網(wǎng)絡(luò)的 IP 地址，這些地址比 DIY 列表更全面，并且會(huì)由 SaaS 提供商不斷更新。

底線：DDoS 預(yù)防工具必不可少

DDoS 攻擊者試圖阻止合法用戶訪問(wèn)資源。根據(jù)受影響的資源，拒絕訪問(wèn)可能只是令人討厭，也可能使整個(gè)企業(yè)癱瘓。當(dāng) DDoS 攻擊成功時(shí)，有效的規(guī)劃可以快速恢復(fù)并限制損失。大型和小型組織都將從投入時(shí)間和資源來(lái)防范 DDoS 攻擊和 IT 基礎(chǔ)設(shè)施彈性中受益。