DDoS攻击类型及DDoS防御方案

作为常见的网络攻击方式，分布式拒绝服务(DDoS)攻击已经成为许多企业和组织的头痛之源。DDoS攻击通过使目标服务器填满流量，使其超负荷到无法运行的程度，从而致使网站瘫痪。这种情况好比成千上万的人试图同时进入一扇门，但这种攻击会令所有人的尝试变成徒劳，因此做好DDoS防御必不可少。

DDoS防御正面临挑战

与访问控制一样，DDoS防御过去都是通过速率限制等技术在网络层进行观察和应用的。但对于如今的超大规模公有云提供商，网络层攻击需要更大的规模，并且应用通常与网络层相分离。因此，攻击者将在堆栈中“上移”；现代DDoS攻击针对的是HTTP层或应用本身的逻辑。例如，攻击者可能会利用公共图书馆提供的图书搜索API，反复请求图书馆中所有图书的完整列表，从而占用大量的数据库资源和网络带宽。

如果没有基本的情景感知和审计跟踪可视化，这些通用保护都是不完整的。运营团队需要流统计数据来了解当前的状态和威胁，而取证团队则使用这些统计数据来拼凑疑似入侵的执行链。应针对异常事件（例如企图入侵的漏洞或需要审计治理的任何事件）触发警报。警报应以日志消息（定向到持久日志存储）或简单网络管理协议(SNMP)陷阱事件的形式提供。流统计数据和警报必须可通过可视化仪表盘和长期数据存储供人类使用。

DDoS防御具体对策

未雨绸缪是DDoS防御的最佳方式。防止此类攻击的关键是要具备一种可以区分恶意和合法流量的系统。有几种可供选择的安全解决方案，如Web应用防火墙和DNS服务，这些解决方案都可发挥一定作用。此外，为了保护客户免遭DDoS攻击，F5分布式云平台高效运营着一个全球安全网络，该解决方案将本地防御与基于分布式云的DDoS防护相结合，以强大的控制力抵御具有针对性的网络和应用层攻击。

随着DDoS攻击数量和复杂性的稳步升级，对于企业而言，显然需要开展更多DDoS防御工作。除了考虑如何规避已发生的DDoS攻击外，更重要的是培养准确检测这些攻击的能力。因此不妨依靠F5安全运营中心（F5 SOC）的支持，以加强保护易受攻击应用或网络，从而真正解除威胁。