DDoS攻擊可以使企業完全宕機數小時以上，而宕機的后果可能很嚴重，各種規模的企業和政府都可能受到影響。2021年，由于系統中斷一小時導致銷售額大幅下降，亞馬遜為此遭受了約3400萬美元的直接財務損失。而隨后由于Fakebook的服務中斷，影響到了Meta的直接收入達到了近1億美元。

因此幾乎每個有在線業務的企業都需要衡量其在網站防護上面所需要的花費及其投資回報率，怎樣用最合理的成本來進行最大化的攻擊防護是每個企業需要考慮的很重要的問題。

火傘云為大家分享阻止DDoS攻擊的15個獨家技巧，希望可以幫助大家更有效的阻止DDoS攻擊：

1.建立多層DDoS防護體系

當前的DDoS攻擊模式已經與5-10年前有很大的不同。早期的DDoS攻擊主要集中在第3層或第4層（協議和傳輸層）的容量攻擊。如今DDoS攻擊有許多不同的類型，每種類型都針對不同的層（網絡層、傳輸層、會話層、應用層）或多層攻擊組合。

此外，攻擊者正在尋找使網站無法訪問合法流量的新方法和利用漏洞的致命方法，從而策劃高度復雜的攻擊。在這種情況下，無法通過簡單地增加網絡帶寬或使用傳統防火墻來阻止DDoS攻擊。您需要一個全面的、多模塊的、多層次的DDoS防護方案來規避各種攻擊，包括應用層DDoS攻擊。

因此您的解決方案必須具有可擴展性，并具有內置冗余、流量監控功能、業務邏輯缺陷檢測和漏洞管理功能。

2.避免成為肉雞

攻擊者使用的一種常見策略是DDoS僵尸網絡，這是一個由遠程控制的受感染設備組成的網絡，可向目標發送大量流量。假設您的機器因DDoS攻擊而關閉，可能系統會遭到破壞并被用作肉雞。

為了避免成為肉雞，必須做好對應的防范：

讓您的設備和軟件保持最新

使用強而獨特的密碼

小心可疑的電子郵件和附件

使用信譽良好的反惡意軟件解決方案

使用信譽良好的VPN

3.識別攻擊類型

通過了解每種攻擊類型的特征并快速識別它們，DDoS 保護程序可以實時響應，在攻擊造成重大損害之前有效地緩解攻擊。識別攻擊類型允許更有針對性和有效的防御機制，例如過濾特定流量或阻止惡意 IP 地址。此外及早識別攻擊類型有助于預測和預防未來的攻擊并改善整體安全態勢，因此在攻擊者發動攻擊之前就識別攻擊類型的能力是DDoS保護程序不可或缺的一部分。

一般來說企業可能會遇到三種常見的DDoS攻擊類型：

a.應用層（L7）攻擊或HTTP泛洪攻擊

這種應用層攻擊針對具有來自多個來源的請求的應用程序。此類攻擊會生成大量POST、GET或HTTP請求，導致服務停機數小時至數周不等。由于成本低且易于操作，應用層攻擊被廣泛用于電子商務、銀行和創業網站等。

b.UDP放大攻擊

攻擊者使用開放的NTP請求流量以阻塞目標服務器或網絡。L3/L4（網絡或傳輸）上的這種流量隨著有效負載流量而增強，并且與請求大小相比是巨大的，因此會使服務不堪重負而宕機。

c.DNS泛洪攻擊

DNS泛洪是針對將域名轉換為IP地址的DNS（域名系統）服務器的DDoS攻擊。這種攻擊旨在通過大流量淹沒DNS服務器，使合法用戶無法訪問目標網站或在線服務。

4.創建DDoS攻擊威脅模型

DDoS攻擊威脅模型是一種結構化方法，用于識別和分析DDoS攻擊給您的在線服務或網站帶來的潛在風險。

大多數互聯網企業都在努力處理網絡資源庫存，以跟上不斷增長的增長和客戶需求。新的門戶網站、支付網關、應用系統、營銷領域和其他資源經常被不斷創建和淘汰。

而您的網絡資源是否管理有序井井有條？火傘云有以下建議：

確定您想要保護的資產——創建一個數據庫，其中包含您想要防止DDoS攻擊的所有Web資產，作為清單。它應該包含網絡詳細信息、正在使用的協議、域、應用程序的數量、它們的使用、最后更新的版本等。

定義潛在的攻擊者——定義可能以您的資產為目標的潛在攻擊者，例如網絡黑客、競爭對手或民族國家行為者。

確定攻擊向量——確定攻擊者可以用來發起DDoS攻擊的各種攻擊向量，如UDP泛洪、SYN泛洪或HTTP 泛洪。

確定攻擊面——確定資產的攻擊面，包括網絡拓撲、硬件基礎設施和軟件堆棧。

評估風險級別——通過評估攻擊發生的概率、攻擊的潛在影響以及檢測和緩解攻擊的可能性來評估每個攻擊向量的風險級別。

5.設置網絡資源優先級

所有的網絡資源都是平等的還是您希望首先保護哪些資源？

從指定Web資源的優先級和重要性開始。例如以業務和數據為中心的Web資產應置于具有24h*7dd DDoS關鍵保護之下。

比如火傘云通常設置三個等級的網絡資源：

關鍵：放置所有可能危及商業交易或您的聲譽的資產，黑客通常有更高的動機首先針對這些資源。

高：此等級應包括可能妨礙日常業務運營的Web資產。

正常：此處包含其他所有內容。

廢置：可以為不再使用的域、網絡、應用程序和其他服務創建新的分類并盡快將其移出業務運營網絡。

6.減少攻擊面暴露

通過減少暴露給攻擊者的面，可以最大限度地減少他們編排DDoS攻擊的范圍/選項。

因此，請保護您的關鍵資產、應用程序和其他資源、端口、協議、服務器和其他入口點，以免直接暴露給攻擊者。

有許多策略可用于最小化攻擊面暴露：

a.您可以在網絡中分離和分配資產，使其更難成為目標。例如，您可以將Web服務器放在公共子網中，但底層數據庫服務器應位于私有子網中。此外您可以限制從您的Web服務器訪問數據庫服務器，而不是其他主機。

b.對于可通過Internet訪問的站點，您也可以通過限制訪問用戶所在國家/地區的流量來減少表面積。

c.利用負載均衡器保護Web服務器和計算資源免受暴露，方法是將它們置于其后。

d.通過刪除任何不相關/不相關的服務、不必要的功能、遺留系統/流程等，保持應用程序/網站清潔，攻擊者經常利用這些作為切入點。

7.強化網絡架構

關鍵的DDoS保護最佳實踐之一是使基礎設施和網絡能夠處理任何雷鳴般的浪涌或流量突然激增。通常建議購買更多帶寬作為一種選擇。然而，因為巨大的成本導致這不是一個實用的解決方案。火傘云建議大家可以加入彈性的CDN服務來幫助您利用全球分散的網絡并構建能夠處理突發流量高峰的冗余資源。

8.了解警告標志

DDoS攻擊包括一些很明顯的網絡癥狀。比如一些常見的DDoS攻擊癥狀是Internet上的連接不穩定、網站間歇性關閉和Internet斷開連接。如果這些問題比較嚴重和持續時間較長，則您的網絡很可能受到DDoS攻擊，您必須采取適當的DDoS攻擊防范措施。

以下是您可能受到分布式拒絕服務 (DDoS) 攻擊的一些警告信號：

異常高的流量

緩慢或無響應的網站

網絡連接問題

不尋常的交通模式

意外的服務器錯誤

資源使用異常激增

9.黑洞路由

黑洞路由是一種用于通過在惡意流量到達目標網絡或服務器之前丟棄惡意流量來防止分布式拒絕服務（DDoS）攻擊的技術。這涉及到將路由器或交換機配置為將流量發送到一個空接口，即“黑洞”，從而有效地減少流量。黑洞路由通常用于阻止來自被識別為攻擊源的特定IP地址或子網的流量。

雖然黑洞路由是一種被動措施，但它可以有效地減輕DDoS攻擊的影響。但需要注意的是，黑洞路由應與其他主動步驟一起使用，以防止DDoS攻擊。

10.速率限制

速率限制是一種用于通過限制發送到網絡或服務器的流量來防止分布式拒絕服務（DDoS）攻擊的技術。這涉及到限制在指定的時間范圍內可以進行的請求或連接的數量。

當達到限制時，多余的流量會被丟棄或延遲。速率限制可以在各種級別上實現，例如在網絡、應用程序或DNS層上。通過限制可以發送到網絡或服務器的流量，速率限制有助于防止可能導致DDoS攻擊的資源過載。但是謹慎配置速率限制以避免阻塞合法流量是很重要的。

基于地理的訪問限制、基于信譽評分的訪問限制等基于實時見解的措施在預防DDoS攻擊方面發揮了很大作用。

11.日志監測與分析

您可能想知道如何通過日志監控來阻止DDoS攻擊。快速檢測威脅是DDoS保護的最佳做法之一，因為它們提供了有關您的網絡流量的數據和統計數據。日志文件包含具有充足信息的數據，可有效地實時檢測威脅。使用日志分析工具檢測DDoS威脅還有其他好處，如使DDoS補救過程快速而簡單。在列出您的網站時，流量統計數據會顯示流量激增的日期和時間，以及哪些服務器受到了攻擊的影響。

日志分析可以通過預先通知不需要的事件的狀態來減少故障排除時間，從而為您節省時間。一些智能日志管理工具還提供了快速補救和減輕成功DDoS攻擊造成的損害所需的信息。

12.制定DDoS抵御計劃

抵御DDoS攻擊并不會限制預防和緩解，由于DDoS攻擊旨在關閉您的完整操作，因此大多數DDoS保護技術都與打擊攻擊有關。

將災難恢復規劃實踐作為定期運營維護的一部分，該計劃應側重于技術能力和全面的計劃，該計劃概述了如何在成功的DDoS攻擊的壓力下確保業務連續性。災難恢復站點必須是恢復計劃的一部分。作為臨時站點的DR站點應具有您的數據的當前備份。恢復計劃還應包括關鍵細節，如恢復方法、關鍵數據備份的維護位置以及誰負責哪些任務。

13.獲取DDoS防護工具

如今市場上充斥著幫助您檢測和保護關鍵網絡資源免受DDoS攻擊的工具。這些工具屬于不同的類別——檢測和緩解。

攻擊檢測

無論攻擊的層次如何，緩解措施都取決于你在虛假流量激增造成嚴重破壞之前檢測到它們的能力。大多數DDoS保護工具都依賴于簽名和源詳細信息來警告您。它們依賴于達到臨界質量的流量，這會影響服務的可用性。然而，僅檢測是不夠的，需要手動干預來查看數據并應用保護規則。

自動緩解

DDoS保護是否可以自動化？許多防DDoS解決方案基于預先配置的規則和策略來引導或阻止虛假流量。

雖然在應用程序或網絡層上自動過濾不良流量是可取的，但攻擊者已經找到了擊敗這些策略的新方法，尤其是在應用程序層。

14.降低對傳統防火墻的依賴

盡管傳統防火墻具有內置的抗DDoS功能，但它們只有一種DDoS阻止方法——不分青紅皂白的閾值做法，即在達到最大閾值限制時阻止特定端口，所以傳統防火墻在DDoS保護中經常失敗。

15.部署Web應用程序防火墻

Web應用程序防火墻（WAF）是抵御所有DDoS攻擊的絕佳防御措施。它阻止惡意流量試圖阻止應用程序中的漏洞。火傘云WAF通過安全專家的全天候監控支持DDoS保護解決方案，以識別虛假流量激增并在不影響合法流量的情況下阻止它們。

您可以在互聯網和原始服務器之間放置WAF。WAF可以充當反向代理，通過讓客戶端在到達服務器之前通過它們來保護服務器不被暴露。

審核編輯 黃宇