企业中必备的五大DDoS防护技术
分布式拒绝服务(DDoS)攻击已经进入了1 Tbps的DDoS攻击时代。然而,Radware研究显示,DDoS攻击不仅规模越来越大;也越来越复杂。黑客们不断提出新的可以绕过传统DDoS防护措施的创新方法,损害企业的服务可用性。
在线安全提供商正在加快脚步,推出新技术来阻止攻击者。然而,并不是所有的DDoS防护措施都是生来平等的。DDoS防护服务的质量和所能提供的的防护措施有很大差别。
为了确保能够防御最新和最强大的DDoS攻击,企业必须确定其安全提供商可以提供应对这些最新威胁的最佳工具和技术
以下是企业现代DDoS防护措施中的5项必备功能:
必备功能1:应用层DDoS防护
应用层(L7) DDoS攻击已经超过网络层(L3/4)攻击,成为了最广泛的攻击矢量。据Radware 2017-2018年ERT报告称,64%的企业都面临着应用层攻击,相比之下,面临网络层攻击的企业仅为51%。
事实上,据ERT报告称,在所有攻击类型中(包括网络层和应用层),HTTP洪水是排名第一的攻击矢量。此外,SSL、DNS和SMTP攻击也是常见的应用层攻击类型。
许多在线安全服务都承诺可以通过WAF实现L7层DDoS防护。然而,这通常需要在DDoS防护机制的基础之上订阅昂贵的附加WAF服务。
这些趋势暗示了,现代DDoS防护已经不只是为了防御网络层DDoS攻击。为了让企业得到充分保护,现代DDoS防护措施必须包含可以防御应用层(L7)攻击的内置防御措施。
必备功能2:SSL DDoS洪水防护
目前,加密流量占了互联网流量的一大部分。根据Mozilla的Let’s Encrypt项目,全球70%以上的网站都是通过HTTPS传输的,这一比例在美国和德国等市场中更高。这些发现在Radware最新的ERT报告中都有所体现,目前,96%的企业都在一定程度上采用了SSL,其中60%的企业证实了,他们的大部分流量都是经过加密的。
然而,这种增长也带来了重大的安全挑战:与常规请求相比,加密请求可能需要高达15倍以上的服务器资源。这就意味着,复杂的攻击者即使利用少量流量也可以击垮一个网站。
由于越来越多的流量都是经过加密的,SSL DDoS洪水成为了黑客越来越常用的攻击矢量。据Radware最新的ERT报告称,过去一年间,30%的企业都声称遭受了基于SSL的攻击。
鉴于基于SSL的DDoS攻击的威力,对希望得到充分保护的企业而言,可以防御SSL DDoS洪水的高水平防护措施是必不可少的。
必备功能3:零日防护
攻击者在不断寻找新的方法,绕过传统的安全机制,并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改,黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击。
例如,一种常见的零日攻击就是脉冲式DDoS攻击,在切换到另一个攻击矢量之前,该攻击会利用高容量攻击的短时脉冲。这些攻击通常会结合许多不同的攻击矢量,依赖需要手动优化的传统安全解决方案的企业在面对这些打了就跑的战术时往往会陷入困境。
另一类零日攻击是放大攻击。放大攻击通常会采用请求和响应包大小严重不对称的通信协议。此类攻击会将流量从不参与攻击的第三方服务器上反射出来,放大攻击流量,进而击垮攻击目标。
据Radware 2017-2018年ERT报告称,42%的企业都遭受了脉冲式攻击,40%的企业声称遭受了放大DDoS攻击。这些趋势说明了零日攻击防护功能在现代DDoS防护机制中的必要性。
必备功能4:行为防护
由于DDoS攻击变得越来越复杂,区分合法流量和恶意流量也随之变得越来越困难。对于可以模仿合法用户行为的应用层(L7) DDoS攻击而言尤为如此。
许多安全厂商采用的常见机制就是基于流量阈值来检测攻击,并使用速率限制来限制流量峰值。然而,这是一种非常粗糙的攻击拦截方式,因为此方法无法区分合法流量和恶意流量。在流量显著增加的购物季等活动高峰期,这是一个非常严重的问题。速率限制等单一的防护机制无法区分合法流量和攻击流量,最终会拦截合法用户。
然而,一种可以更有效检测并拦截攻击的方法就是采用了解什么是正常用户行为的行为分析技术,并拦截所有不符合这种行为的流量。这不仅可以提供更高水平的防护,而且可以实现更低的误报率,并且不会在流量高峰期拦截合法用户。
因此,采用了基于行为分析的检测(和缓解)的DDoS防护措施确实是有效的DDoS防护中的必备功能。
必备功能5:详尽的SLA
企业服务水平协议(SLA)是企业安全提供商承诺为其提供的保障。毫不夸张的说,企业安全完全取决于企业的SLA。
许多安全厂商都大肆宣扬自己的能力,但一旦到了要做出实际承诺的时候,他们的宣扬就会化为泡影。
为了确保企业能获得安全厂商宣传手册上描述的所有服务,企业需要告诉安全厂商要采取切实措施,并提供详细的SLA,其中包括对检测、缓解和可用性指标的具体承诺。SLA必须涵盖整个DDoS攻击生命周期,以便确保企业在任何场景下都能得到充分的保护。
如果企业的安全提供商无法提供此类承诺,企业就应该对该厂商能否提供高质量的DDoS攻击防护产生怀疑。这也是细粒度SLA能成为现代DDoS防护措施中必备功能的原因。
企业中必备的五大DDoS防护技术相关推荐
- 企业中必备的五大DDoS防护技术 你知道几个?
我们说,分布式拒绝服务(DDoS)攻击已经进入了1Tbps的DDoS攻击时代.根据Radware的最新研究结果显示,DDoS攻击不仅规模越来越大,也越来越复杂.黑客们不断提出新的可以绕过传统DDoS防 ...
- 2013年企业信息化必备的五大软件
企业信息化需要的五大软件 随着信息化应用在企业中的日渐普及,企业IT部门的重要性势必将进一步提升.这听起来似乎非常诱人,然而IT部门仍需认清现实:时代正在飞速变化,技术时刻都在革新.对于企业IT人员而 ...
- 期货交易中必备的五大交易系统解析
01 趋势跟随交易系统 趋势跟随交易系统是在高频交易被曝光前最流行也是最热门的交易系统类型.最早的趋势跟随交易策略成形于20世纪早期,主要利用移动平均线进行买入.持有.卖出.之后,由于有了计算机生成的 ...
- 从保障淘宝到全球市场“第一阵营”,阿里云的DDoS防护之路走了多远?
摘要: 2年前,不少技术圈的朋友,读过论坛里的一篇解读文章:DDoS,阿里为什么要走自己的一条路(https://bbs.aliyun.com/read/271764.html?pos=13),文章讲 ...
- DDOS防护为何需要不断升级?它的对手是一条暴利的“黑色产业链”
我们知道黑客对服务器发起攻击也是需要成本的,但与企业花在DDOS防护上的成本就显得微不足道了.根据相关数据显示,企业平均每年的DDOS防护成本约6000万元,而相应的攻击成本却在非常低,攻击和防护的资 ...
- 活动实录丨SRE在传统企业中的落地实践
王璞/数人云创始人&CEO 美国George Mason 大学计算机博士.曾先后供职于 Google.Groupon 和 StumbleUpon等硅谷互联网公司.擅长分布式计算.大规模机器学习 ...
- 企业网络及应用层安全防护技术精要(Part I)
企业网络及应用层由于网络的开发性.网络协议等自身设计的薄弱和脆弱性以及由于经济利益驱动而导致的黑客技术的攻击性和目标性的不断增强等原因,经受着来自网络和应用等多层次.多方面的网络威胁和攻击.可以说,企 ...
- 企业网络及应用层安全防护技术精要
企业网络及应用层由于网络的开发性.网络协议等自身设计的薄弱和脆弱性以及由于经济利益驱动而导致的***技术的***性和目标性的不断增强等原因,经受着来自网络和应用等多层次.多方面的网络威胁和***.可以 ...
- 2012年度IT盘点:企业必备的五大软件
随着信息化应用在企业中的日渐普及,企业IT部门的重要性势必将进一步提升.这听起来似乎非常诱人,然而IT部门仍需认清现实:时代正在飞速变化,技术时刻都在革新.对于企业IT人员而言,如果不顺应变化和革新, ...
最新文章
- 排列组合中分组(分堆)与分配问题
- java旅游系统项目经验_谁能跟我介绍一下Java 项目经验,刚进入这个行业。
- 在应用程序中加入.net脚本
- 002_推箱子-关卡数据
- Hibernate一个简单实例的各种坑
- 分形(Fractal)
- 黑马程序员——iOS学习——启动App界面黑屏
- element el-tree懒加载+搜索
- ECCV18 | 如何正确使用样本扩充改进目标检测性能(附Github地址)
- 基于贪心算法的几类区间覆盖问题 nyoj 12喷水装置(二) nyoj 14会场安排问题...
- 面试常问的深度学习(DNN、CNN、RNN)的相关问题
- 复制一段话,发现收费怎么办,下边帮你解决
- 计算机基础知识点总结
- 腾讯云服务器被黑客攻击的解决办法
- Redo log In-depth(Only for experienced Oracle DBA NOT for Fresher DBA)
- 【自由随想录(二)】
- 修改webbrower中浏览器版本
- 介绍一个2000+star的Github项目
- Elasticsearch 和 MongoDB 对比
- 微信公众平台找自己APPID