企业必需的五种DDoS防护技术
发布时间:2020-01-09 点击数:1630
分布式拒绝服务(DDoS)攻击已进入1 Tbps DDoS攻击时代。但是,Radware的研究表明,DDoS攻击不仅越来越大,而且越来越多。它们也变得越来越复杂。黑客不断提出新的方法来绕过传统的DDoS保护措施,从而破坏服务的可用性
在线安全提供商正在加紧并推出新技术来阻止攻击者。但是,并非所有的DDoS保护措施都是一样的。 DDoS防护服务的质量与可以提供的防护措施有很大不同。
为了确保抵御最新和最强大的DDoS攻击,组织必须确定其安全提供商可以提供的最佳工具和技术来应对这些最新威胁。
以下是公司现代DDoS防护措施的五个基本特征:
必备功能1:应用层DDoS保护
应用层(L7)DDoS攻击已超过网络层(L3 / 4)攻击,成为最广泛的攻击媒介。根据Radware 2017-2018 ERT报告,有64%的企业面临应用层攻击,而有51%的企业面临网络层攻击。
实际上,根据ERT报告,HTTP泛洪是所有攻击类型(包括网络层和应用程序层)中的头号攻击向量。此外,SSL,DNS和SMTP攻击也是应用程序层攻击的常见类型。
许多在线安全服务承诺通过WAF实施L7层DDoS保护。但是,这通常需要订阅基于DDoS保护机制的昂贵的附加WAF服务。
这些趋势表明,现代DDoS保护不只是防御网络层DDoS攻击。为了全面保护企业,现代DDoS防护措施必须包括内置防御措施,以防御应用层(L7)攻击。
必备功能2:SSL DDoS泛洪保护
当前,加密流量占Internet流量的很大一部分。根据Mozilla的Let's Encrypt项目,全球超过70%的网站是通过HTTPS传输的,在美国和德国,这一比例更高。这些发现反映在Radware的最新ERT报告中。当前,有96%的公司在一定程度上使用SSL,其中60%的公司已确认大部分流量已加密。
但是,这种增长也带来了主要的安全挑战:加密请求所需要的服务器资源最多是常规请求的15倍。这意味着即使是少量流量,老练的攻击者也可以杀死网站。
随着越来越多的流量被加密,SSL DDoS泛洪已成为黑客越来越普遍的攻击手段。根据Radware的最新ERT报告,在过去的一年中,有30%的公司声称遭受了基于SSL的攻击。
有了基于SSL的DDoS攻击的强大功能,针对想要完全受到保护的组织而言,针对SSL DDoS泛滥的高级防护至关重要。
必备功能3:零日保护
攻击者一直在寻找新的方法来绕过传统的安全机制,并以前所未有的攻击来攻击企业。即使对攻击签名进行了较小的修改,黑客也可以创建手动签名无法识别的攻击。这种类型的攻击通常称为“零时差”攻击。
例如,常见的零日攻击是脉冲式DDoS攻击,它在切换到另一个攻击媒介之前利用短时间的高容量攻击爆发。这些攻击通常会组合许多不同的攻击媒介,而依赖传统安全解决方案且需要手动优化的公司在遇到这些运行策略时往往会遇到麻烦。
零日攻击的另一种类型是向上扩展攻击。放大攻击通常使用具有严重不对称的请求和响应数据包大小的通信协议。此类攻击将反映未参与攻击的第三方服务器的流量,从而放大攻击流量并杀死目标。
根据Radware的2017-2018 ERT报告,42%的公司遭受了脉冲攻击,40%的公司声称遭受了放大的DDoS攻击。这些趋势表明,现代DDoS保护机制需要零日攻击保护。
必备功能4:行为保护
随着DDoS攻击变得越来越复杂,区分合法流量和恶意流量变得越来越困难。对于可模仿合法用户行为的应用程序层(L7)DDoS攻击尤其如此。
许多安全供应商使用的通用机制是根据流量阈值检测攻击,并使用速率限制来限制流量峰值。但是,这是一种非常粗糙的攻击拦截方法,因为它无法区分合法流量和恶意流量。在高峰时段(例如购物旺季),这是一个非常严重的问题,在此期间,流量会大大增加。速率限制等单一保护机制无法区分合法流量和攻击流量,最终会拦截合法用户。
但是,一种更有效地检测和阻止攻击的方法是使用行为分析技术,该技术可以理解什么是正常的用户行为并拦截与该行为不匹配的所有流量。这不仅提供了更高级别的保护,而且还降低了误报率,并且不会在流量高峰期阻止合法用户。
因此,基于行为分析的检测(和缓解)的DDoS保护措施确实是有效DDoS保护的基本特征。
必备功能5:详细的SLA
企业服务级别协议(SLA)是企业安全提供者所承诺的保证。毫不夸张地说,公司安全完全取决于公司的SLA。
许多安全供应商都渴望提升自己的能力,但是一旦做出实际承诺,他们的晋升将被破坏。
为了确保公司可以访问安全厂商手册中描述的所有服务,公司需要告诉安全厂商采取实际步骤并提供详细的SLA,包括对检测,缓解和可用性指标的特定承诺。 SLA必须涵盖整个DDoS攻击生命周期,以确保在任何情况下都可以完全保护企业。
为了确保抵御最新和最强大的DDoS攻击,组织必须确定其安全提供商可以提供的最佳工具和技术来应对这些最新威胁。
以下是公司现代DDoS防护措施的五个基本特征:
必备功能1:应用层DDoS保护
应用层(L7)DDoS攻击已超过网络层(L3 / 4)攻击,成为最广泛的攻击媒介。根据Radware 2017-2018 ERT报告,有64%的企业面临应用层攻击,而有51%的企业面临网络层攻击。
实际上,根据ERT报告,HTTP泛洪是所有攻击类型(包括网络层和应用程序层)中的头号攻击向量。此外,SSL,DNS和SMTP攻击也是应用程序层攻击的常见类型。
许多在线安全服务承诺通过WAF实施L7层DDoS保护。但是,这通常需要订阅基于DDoS保护机制的昂贵的附加WAF服务。
这些趋势表明,现代DDoS保护不只是防御网络层DDoS攻击。为了全面保护企业,现代DDoS防护措施必须包括内置防御措施,以防御应用层(L7)攻击。
必备功能2:SSL DDoS泛洪保护
当前,加密流量占Internet流量的很大一部分。根据Mozilla的Let's Encrypt项目,全球超过70%的网站是通过HTTPS传输的,在美国和德国,这一比例更高。这些发现反映在Radware的最新ERT报告中。当前,有96%的公司在一定程度上使用SSL,其中60%的公司已确认大部分流量已加密。
但是,这种增长也带来了主要的安全挑战:加密请求所需要的服务器资源最多是常规请求的15倍。这意味着即使是少量流量,老练的攻击者也可以杀死网站。
随着越来越多的流量被加密,SSL DDoS泛洪已成为黑客越来越普遍的攻击手段。根据Radware的最新ERT报告,在过去的一年中,有30%的公司声称遭受了基于SSL的攻击。
有了基于SSL的DDoS攻击的强大功能,针对想要完全受到保护的组织而言,针对SSL DDoS泛滥的高级防护至关重要。
必备功能3:零日保护
攻击者一直在寻找新的方法来绕过传统的安全机制,并以前所未有的攻击来攻击企业。即使对攻击签名进行了较小的修改,黑客也可以创建手动签名无法识别的攻击。这种类型的攻击通常称为“零时差”攻击。
例如,常见的零日攻击是脉冲式DDoS攻击,它在切换到另一个攻击媒介之前利用短时间的高容量攻击爆发。这些攻击通常会组合许多不同的攻击媒介,而依赖传统安全解决方案且需要手动优化的公司在遇到这些运行策略时往往会遇到麻烦。
零日攻击的另一种类型是向上扩展攻击。放大攻击通常使用具有严重不对称的请求和响应数据包大小的通信协议。此类攻击将反映未参与攻击的第三方服务器的流量,从而放大攻击流量并杀死目标。
根据Radware的2017-2018 ERT报告,42%的公司遭受了脉冲攻击,40%的公司声称遭受了放大的DDoS攻击。这些趋势表明,现代DDoS保护机制需要零日攻击保护。
必备功能4:行为保护
随着DDoS攻击变得越来越复杂,区分合法流量和恶意流量变得越来越困难。对于可模仿合法用户行为的应用程序层(L7)DDoS攻击尤其如此。
许多安全供应商使用的通用机制是根据流量阈值检测攻击,并使用速率限制来限制流量峰值。但是,这是一种非常粗糙的攻击拦截方法,因为它无法区分合法流量和恶意流量。在高峰时段(例如购物旺季),这是一个非常严重的问题,在此期间,流量会大大增加。速率限制等单一保护机制无法区分合法流量和攻击流量,最终会拦截合法用户。
但是,一种更有效地检测和阻止攻击的方法是使用行为分析技术,该技术可以理解什么是正常的用户行为并拦截与该行为不匹配的所有流量。这不仅提供了更高级别的保护,而且还降低了误报率,并且不会在流量高峰期阻止合法用户。
因此,基于行为分析的检测(和缓解)的DDoS保护措施确实是有效DDoS保护的基本特征。
必备功能5:详细的SLA
企业服务级别协议(SLA)是企业安全提供者所承诺的保证。毫不夸张地说,公司安全完全取决于公司的SLA。
许多安全供应商都渴望提升自己的能力,但是一旦做出实际承诺,他们的晋升将被破坏。
为了确保公司可以访问安全厂商手册中描述的所有服务,公司需要告诉安全厂商采取实际步骤并提供详细的SLA,包括对检测,缓解和可用性指标的特定承诺。 SLA必须涵盖整个DDoS攻击生命周期,以确保在任何情况下都可以完全保护企业。
如果公司的安全提供者无法提供这样的承诺,则该公司应该怀疑供应商是否可以提供高质量的DDoS攻击防护。这就是为什么细粒度的SLA可以成为现代DDoS保护中必不可少的功能的原因。
云网时代专业提供深圳服务器租用,深圳服务器托管,深圳主机租用,云服务器租用,高防服务器租用等服务,欢迎咨询客服了解详情。