如何保护自己，缓解DDoS攻击，保护网络和互联网资产_云主机和虚拟主机_奇迪科技(深圳)有限公司(www.qvdv.net)

随着DDoS缓解技术成熟，网络犯罪分子开始了使用新的针对多个应用程序和服务的更新攻击类型。而且，预计攻击频率只会增加。《网络犯罪杂志》（Cybercrime Magazine）估计，DDoS 攻击总数将从 2020 年的 1190 万次增长到 2022 年的 1450万次。为了保护网络和互联网资产，企业需要应对每一层上的漏洞。在本白皮书中，我们分享五种在不影响性能的前提下缓解 DDoS 攻击的最佳实践。
DDOS 缓解的最佳实践

1. 加强保护策略

由于 DDoS 攻击可在 OSI 协议栈的多个层发生，采用全面的保护措施很重要。然而，传统的 DDoS 保护解
决方案并非处理这个问题的唯一途径。如下策略可作为 DDoS 解决方案的补充并保护服务器和网络。
使用反向代理保护服务器。

如果您的目的是保护 web 服务器，反向代理将防止攻击者识别您的服务器 IP 地址并将其作为目标。这样
一来，攻击者将只能以反向代理为目标，从而保护了您的服务器。

一些公司构建或部署自己的反向代理，但这需要大量的软件和工程资源，以及对物理硬件的大量投资。
要实现反向代理的优势，最简单、最经济的方法之一是使用内容分发网络（CDN）。CDN 是分布式的代理服
务器网络，通过在更接近最终用户的地方缓存内容（或储存副本）来降低延迟。

寻找一个拥有全球服务器负载平衡功能的 CDN，以便您的站点能分布在全球各地的多个服务器上。这样一
来，DDoS 攻击将能在更接近来源的地方被缓解，而不会影响到性能。

如果目标是保护网络基础设施，则可使用边界网关协议（BGP）重新路由，将流量重定向到可过滤掉恶意
流量的清洗中心。但这样一来，所有流量都会被重新路由到数量有限、位置偏远的清洗中心，从而导致延
迟明显增加。

因此，建议使用具有足够规模的云端 DDoS 缓解解决方案。使用基于云的缓解措施时，缓解服务提供商将
公告自治系统编号（ASN），使流量直接路由到清洗服务器，而非前往源服务器。在这种配置中，流量在更
接近攻击来源的地方被过滤，进一步降低了延迟。

2. 优先考虑两个最重要的指标——容量和缓解时间

DDoS 保护中最重要的因素是保护的强度（容量）和抵御攻击的速度（缓解时间）。

容量，为吸收 DDoS 攻击所产生的流量高峰，传统方法是投资购置本地硬件。但这样做成本很快就会变得昂贵起来，因为企业必须为应付孤立的攻击而并不常用的容量付费。此外，即使最健壮的企业级基础设施都有可能被最大规模的攻击所压垮。速率限制，即限制服务器在一段时间内可接收的请求数量，会有帮助。然而，单纯使用速率限制会导致合法流量峰值期间性能下降，而且无法承受更复杂的攻击。

因此，优先使用高容量解决方案很重要。基于云且拥有可扩展资源的 DDoS 缓解甚至能吸收最大规模的攻击，使您的组织毫发无损。
缓解时间，如果可用性 短暂下降 都会导致收 入和生 产力严重损 失，缓 解时间（T TM）就 变得 极 其重要。要减 少TTM，您将需要确保流量能在发生中断时转移到替代站点——但这种方法仅在您的基础设施被压垮之前才有效。

相比之下，基于云且运行于边缘的 DDoS 保护在接近来源的地方缓解攻击，从而帮助减少 TTM。

3. 考虑永远在线和按需保护

使用按需缓解服务时，流量正常转发，直至检测到潜在的 DDoS 攻击。此时，流量将被重新路由到云端缓解服务，经过过滤并回传到源服务器。您仅在需要时为 DDoS 缓解付费，无需管理或额外资源。但这样也存在一些损失，尤其是在 TTM 方面。阻止攻击需要更长时间，这是因为，流量峰值必须达到特定的阈值，才会启动分析，并由人手动打开缓解服务。

按需解决方案不能很好地抵御短暂的攻击，而根据Cloudflare网络数据，大部分攻击都是短暂攻击。例如，2021 年第三季度，超过 94% 的网络层攻击持续时间不到一小时。短暂攻击也许听起来并不可怕，但如果未能及时启动按需保护，这些攻击也能产生巨大影响。更不用说，某些情况下，即使停机几分钟也可能造成损失。
攻击者也可能会利用短暂攻击来测试某个组织的防御，然后再发动更大规模的攻击。相比之下，永远在线的缓解会持续路由和过滤所有站点流量。这样一来，只有干净的流量才会到达客户的服务器。虽然比按需服务更昂贵，但始终启用的缓解提供不间断的保护。这样做能减少 TTM，因为永远不需要手动打开服务。

4. 绝不为安全而牺牲性能

当今的数字消费者预期网站和应用能持续可用并快速加载。事实上，大多人感知到的延迟仅为 100-200毫秒。但延迟并不只是带来不便，因为延迟每增加一秒，转化率就会降低 4.42%。因此，在不降低影响的情况下防御 DDoS 攻击要求仔细的平衡。为缓解攻击，很多组织尝试将流量重定向到清洗中心以过滤流量。然而，这些清洗中心往往远离流量来源或目的地网络，从而造成增加延迟的瓶颈。这迫使组织在性能和安全之间做出选择。基于边缘的云缓解服务为这一平衡提供了解决方案。这些解决方案建立于分布式网络上，缓解在网络中的每一台服务器上运行，而非在集中式数据中心缓解攻击。这意味着，检测和缓解都在尽可能接近攻击来源的地方运行，从而减少 TTM。

5. 拥抱威胁情报以领先于攻击者

抵抗日益复杂的 DDoS 攻击不仅需要采用分层的方法。您还需要持续分析流量以识别恶意模式，以帮助您开发智能的自适应防御措施，以抵抗日后的攻击。基于云的缓解系统往往采用机器学习，以便在新兴攻击出现前就予以检测和缓解。这就是所谓“威胁情报”。在评估基于云的缓解服务时，重要的一点是不仅考虑容量或传输和过滤速度，还要考虑网络情报。缓解网络规模越大、越健壮，它就能为不断演变的攻击模式提供更丰富的情报，从而提供更主动的保护。