隨著(zhù)DDoS緩解技術(shù)成熟，網(wǎng)絡(luò )犯罪分子開(kāi)始了使用新的針對多個(gè)應用程序和服務(wù)的更新攻擊類(lèi)型。而且，預計攻擊頻率只會(huì )增加?！毒W(wǎng)絡(luò )犯罪雜志》（Cybercrime Magazine）估計，DDoS 攻擊總數將從 2020 年的 1190 萬(wàn)次增長(cháng)到 2022 年的 1450萬(wàn)次。為了保護網(wǎng)絡(luò )和互聯(lián)網(wǎng)資產(chǎn)，企業(yè)需要應對每一層上的漏洞。在本白皮書(shū)中，我們分享五種在不影響性能的前提下緩解 DDoS 攻擊的最佳實(shí)踐。
DDOS 緩解的最佳實(shí)踐

1. 加強保護策略

由于 DDoS 攻擊可在 OSI 協(xié)議棧的多個(gè)層發(fā)生，采用全面的保護措施很重要。然而，傳統的 DDoS 保護解
決方案并非處理這個(gè)問(wèn)題的唯一途徑。如下策略可作為 DDoS 解決方案的補充并保護服務(wù)器和網(wǎng)絡(luò )。
使用反向代理保護服務(wù)器。

如果您的目的是保護 web 服務(wù)器，反向代理將防止攻擊者識別您的服務(wù)器 IP 地址并將其作為目標。這樣
一來(lái)，攻擊者將只能以反向代理為目標，從而保護了您的服務(wù)器。

一些公司構建或部署自己的反向代理，但這需要大量的軟件和工程資源，以及對物理硬件的大量投資。
要實(shí)現反向代理的優(yōu)勢，最簡(jiǎn)單、最經(jīng)濟的方法之一是使用內容分發(fā)網(wǎng)絡(luò )（CDN）。CDN 是分布式的代理服
務(wù)器網(wǎng)絡(luò )，通過(guò)在更接近最終用戶(hù)的地方緩存內容（或儲存副本）來(lái)降低延遲。

尋找一個(gè)擁有全球服務(wù)器負載平衡功能的 CDN，以便您的站點(diǎn)能分布在全球各地的多個(gè)服務(wù)器上。這樣一
來(lái)，DDoS 攻擊將能在更接近來(lái)源的地方被緩解，而不會(huì )影響到性能。

如果目標是保護網(wǎng)絡(luò )基礎設施，則可使用邊界網(wǎng)關(guān)協(xié)議（BGP）重新路由，將流量重定向到可過(guò)濾掉惡意
流量的清洗中心。但這樣一來(lái)，所有流量都會(huì )被重新路由到數量有限、位置偏遠的清洗中心，從而導致延
遲明顯增加。

因此，建議使用具有足夠規模的云端 DDoS 緩解解決方案。使用基于云的緩解措施時(shí)，緩解服務(wù)提供商將
公告自治系統編號（ASN），使流量直接路由到清洗服務(wù)器，而非前往源服務(wù)器。在這種配置中，流量在更
接近攻擊來(lái)源的地方被過(guò)濾，進(jìn)一步降低了延遲。

2. 優(yōu)先考慮兩個(gè)最重要的指標——容量和緩解時(shí)間

DDoS 保護中最重要的因素是保護的強度（容量）和抵御攻擊的速度（緩解時(shí)間）。

容量，為吸收 DDoS 攻擊所產(chǎn)生的流量高峰，傳統方法是投資購置本地硬件。但這樣做成本很快就會(huì )變得昂貴起來(lái)，因為企業(yè)必須為應付孤立的攻擊而并不常用的容量付費。此外，即使最健壯的企業(yè)級基礎設施都有可能被最大規模的攻擊所壓垮。速率限制，即限制服務(wù)器在一段時(shí)間內可接收的請求數量，會(huì )有幫助。然而，單純使用速率限制會(huì )導致合法流量峰值期間性能下降，而且無(wú)法承受更復雜的攻擊。

因此，優(yōu)先使用高容量解決方案很重要?；谠魄覔碛锌蓴U展資源的 DDoS 緩解甚至能吸收最大規模的攻擊，使您的組織毫發(fā)無(wú)損。
緩解時(shí)間，如果可用性 短暫下降 都會(huì )導致收 入和生 產(chǎn)力嚴重損 失，緩 解時(shí)間（T TM）就 變得 極 其重要。要減 少TTM，您將需要確保流量能在發(fā)生中斷時(shí)轉移到替代站點(diǎn)——但這種方法僅在您的基礎設施被壓垮之前才有效。

相比之下，基于云且運行于邊緣的 DDoS 保護在接近來(lái)源的地方緩解攻擊，從而幫助減少 TTM。

3. 考慮永遠在線(xiàn)和按需保護

使用按需緩解服務(wù)時(shí)，流量正常轉發(fā)，直至檢測到潛在的 DDoS 攻擊。此時(shí)，流量將被重新路由到云端緩解服務(wù)，經(jīng)過(guò)過(guò)濾并回傳到源服務(wù)器。您僅在需要時(shí)為 DDoS 緩解付費，無(wú)需管理或額外資源。但這樣也存在一些損失，尤其是在 TTM 方面。阻止攻擊需要更長(cháng)時(shí)間，這是因為，流量峰值必須達到特定的閾值，才會(huì )啟動(dòng)分析，并由人手動(dòng)打開(kāi)緩解服務(wù)。

按需解決方案不能很好地抵御短暫的攻擊，而根據Cloudflare網(wǎng)絡(luò )數據，大部分攻擊都是短暫攻擊。例如，2021 年第三季度，超過(guò) 94% 的網(wǎng)絡(luò )層攻擊持續時(shí)間不到一小時(shí)。短暫攻擊也許聽(tīng)起來(lái)并不可怕，但如果未能及時(shí)啟動(dòng)按需保護，這些攻擊也能產(chǎn)生巨大影響。更不用說(shuō)，某些情況下，即使停機幾分鐘也可能造成損失。
攻擊者也可能會(huì )利用短暫攻擊來(lái)測試某個(gè)組織的防御，然后再發(fā)動(dòng)更大規模的攻擊。相比之下，永遠在線(xiàn)的緩解會(huì )持續路由和過(guò)濾所有站點(diǎn)流量。這樣一來(lái)，只有干凈的流量才會(huì )到達客戶(hù)的服務(wù)器。雖然比按需服務(wù)更昂貴，但始終啟用的緩解提供不間斷的保護。這樣做能減少 TTM，因為永遠不需要手動(dòng)打開(kāi)服務(wù)。

4. 絕不為安全而犧牲性能

當今的數字消費者預期網(wǎng)站和應用能持續可用并快速加載。事實(shí)上，大多人感知到的延遲僅為 100-200毫秒。但延遲并不只是帶來(lái)不便，因為延遲每增加一秒，轉化率就會(huì )降低 4.42%。因此，在不降低影響的情況下防御 DDoS 攻擊要求仔細的平衡。為緩解攻擊，很多組織嘗試將流量重定向到清洗中心以過(guò)濾流量。然而，這些清洗中心往往遠離流量來(lái)源或目的地網(wǎng)絡(luò )，從而造成增加延遲的瓶頸。這迫使組織在性能和安全之間做出選擇?；谶吘壍脑凭徑夥?wù)為這一平衡提供了解決方案。這些解決方案建立于分布式網(wǎng)絡(luò )上，緩解在網(wǎng)絡(luò )中的每一臺服務(wù)器上運行，而非在集中式數據中心緩解攻擊。這意味著(zhù)，檢測和緩解都在盡可能接近攻擊來(lái)源的地方運行，從而減少 TTM。

5. 擁抱威脅情報以領(lǐng)先于攻擊者

抵抗日益復雜的 DDoS 攻擊不僅需要采用分層的方法。您還需要持續分析流量以識別惡意模式，以幫助您開(kāi)發(fā)智能的自適應防御措施，以抵抗日后的攻擊?；谠频木徑庀到y往往采用機器學(xué)習，以便在新興攻擊出現前就予以檢測和緩解。這就是所謂“威脅情報”。在評估基于云的緩解服務(wù)時(shí)，重要的一點(diǎn)是不僅考慮容量或傳輸和過(guò)濾速度，還要考慮網(wǎng)絡(luò )情報。緩解網(wǎng)絡(luò )規模越大、越健壯，它就能為不斷演變的攻擊模式提供更豐富的情報，從而提供更主動(dòng)的保護。