DDoS 緩解：反 DDoS 保護如何工作？

選擇DDoS 緩解解決方案的第一步是評估您的風(fēng)險。重要的基本問題包括：

哪些基礎(chǔ)設(shè)施資產(chǎn)需要保護？

什么是軟點或單點故障？

拿下他們需要什么？

您如何以及何時知道自己是目標？會不會太晚了？

延長停電的影響（財務(wù)和其他方面）是什么？

有了這些信息，就可以優(yōu)先考慮您的問題，在您的安全預(yù)算框架內(nèi)檢查各種DDoS 緩解選項。

如果您正在運行商業(yè)網(wǎng)站或在線應(yīng)用程序（例如，SaaS 應(yīng)用程序、網(wǎng)上銀行、電子商務(wù)），您可能需要 24×7、始終在線的保護。另一方面，大型律師事務(wù)所可能對保護其基礎(chǔ)設(shè)施（包括電子郵件服務(wù)器、FTP 服務(wù)器和后臺平臺）比其網(wǎng)站更感興趣。此類業(yè)務(wù)可能會選擇“按需”解決方案。

第二步是選擇部署方法。為整個子網(wǎng)中的核心基礎(chǔ)設(shè)施服務(wù)部署按需DDoS 保護的最常見和最有效的方法是通過邊界網(wǎng)關(guān)協(xié)議(BGP?) 路由。但是，這只能按需運行，需要您手動激活安全解決方案以防萬一。

因此，如果您的Web 應(yīng)用程序需要始終在線的 DDoS 保護，您應(yīng)該使用 DNS 重定向通過 DDoS 保護提供商的網(wǎng)絡(luò)（通常與內(nèi)容交付網(wǎng)絡(luò)集成）重新路由所有網(wǎng)站流量 (HTTP/HTTPS)， .?該解決方案的優(yōu)勢在于，大多數(shù) CDN 提供了隨叫隨到的可擴展性以吸收容量攻擊，同時最大限度地減少延遲并加速內(nèi)容交付。

減輕網(wǎng)絡(luò)層攻擊

處理所需的網(wǎng)絡(luò)層攻擊需要額外的可擴展性——超出您自己的網(wǎng)絡(luò)所能提供的。

因此，在發(fā)生攻擊時，會發(fā)出BGP 公告以確保所有傳入流量都通過一組清理中心進行路由。其中每一個都具有處理數(shù)百 Gbps 流量的能力。位于清理中心的強大服務(wù)器將過濾掉惡意數(shù)據(jù)包，只通過 GRE 隧道將干凈的流量轉(zhuǎn)發(fā)到源服務(wù)器。

這種緩解方法提供了針對直接IP 攻擊的保護，并且通常與所有類型的基礎(chǔ)設(shè)施和通信協(xié)議（例如，UDP、SMTP、FTP、VoIP）兼容。

防御NTP 放大攻擊：180Gbps 和每秒 5000 萬個數(shù)據(jù)包

減輕應(yīng)用層攻擊

應(yīng)用層攻擊的緩解依賴于可以按需擴展的流量分析解決方案，同時還能夠區(qū)分惡意機器人和合法網(wǎng)站訪問者。

對于流量分析，最佳實踐要求基于簽名和基于行為的啟發(fā)式方法，結(jié)合IP 信譽評分和安全挑戰(zhàn)（例如，JS 和 cookie 挑戰(zhàn)）的漸進式使用。

緩解長達八天的HTTP 洪水：來自 180,000 個僵尸網(wǎng)絡(luò) IP 的 6.9 億次 DDoS 請求

總之，這些可以準確地過濾掉惡意機器人流量，防止應(yīng)用層攻擊，而不會對您的合法訪問者造成任何影響