Radware：企業(yè)中必備的5大DDoS防護技術(shù)

　　同樣地，在線(xiàn)安全提供商也在加快腳步，推出新技術(shù)來(lái)阻止攻擊者。然而，并不是所有的DDoS防護措施都是生來(lái)平等的。DDoS防護服務(wù)的質(zhì)量和所能提供的的防護措施有很大差別。

　　為了確保能夠防御最新和最強大的DDoS攻擊，企業(yè)必須確定其安全提供商可以提供應對這些最新威脅的最佳工具和技術(shù)。

　　應用層（L7） DDoS攻擊已經(jīng)超過(guò)網(wǎng)絡(luò )層（L3/4）攻擊，成為了最廣泛的攻擊矢量。據Radware 2017-2018年ERT報告稱(chēng)，64%的企業(yè)都面臨著(zhù)應用層攻擊，相比之下，面臨網(wǎng)絡(luò )層攻擊的企業(yè)僅為51%。

　　事實(shí)上，據ERT報告稱(chēng)，在所有攻擊類(lèi)型中（包括網(wǎng)絡(luò )層和應用層），HTTP洪水是排名第一的攻擊矢量 。此外，SSL、DNS和SMTP攻擊也是常見(jiàn)的應用層攻擊類(lèi)型。

　　許多在線(xiàn)安全服務(wù)都承諾可以通過(guò)WAF實(shí)現L7層DDoS防護。然而，這通常需要在DDoS防護機制的基礎之上訂閱昂貴的附加WAF服務(wù)。

　　這些趨勢暗示了，現代DDoS防護已經(jīng)不只是為了防御網(wǎng)絡(luò )層DDoS攻擊。為了讓企業(yè)得到充分保護，現代DDoS防護措施必須包含可以防御應用層（L7）攻擊的內置防御措施。

　　目前，加密流量占了互聯(lián)網(wǎng)流量的一大部分。根據’Mozilla的Lets Encrypt項目，全球70%以上的網(wǎng)站都是通過(guò)HTTPS傳輸的，這一比例在美國和德國等市場(chǎng)中更高。這些發(fā)現在Radware最新的ERT報告中都有所體現，目前，96%的企業(yè)都在一定程度上采用了SSL，其中60%的企業(yè)證實(shí)了，他們的大部分流量都是經(jīng)過(guò)加密的。

　　然而，這種增長(cháng)也帶來(lái)了重大的安全挑戰：與常規請求相比，加密請求可能需要高達15倍以上的服務(wù)器資源 。這就意味著(zhù)，復雜的攻擊者即使利用少量流量也可以擊垮一個(gè)網(wǎng)站。

　　由于越來(lái)越多的流量都是經(jīng)過(guò)加密的，SSL DDoS洪水成為了黑客越來(lái)越常用的攻擊矢量。據Radware最新的ERT報告稱(chēng)，過(guò)去一年間，30%的企業(yè)都聲稱(chēng)遭受了基于SSL的攻擊。

　　鑒于基于SSL的DDoS攻擊的威力，對希望得到充分保護的企業(yè)而言，可以防御SSL DDoS洪水的高水平防護措施是必不可少的。

　　攻擊者在不斷尋找新的方法，繞過(guò)傳統的安全機制，并利用前所未見(jiàn)的攻擊方法攻擊企業(yè)。即使對攻擊特征碼做一些微小修改，黑客也能創(chuàng )造出手動(dòng)特征碼無(wú)法識別的攻擊。這類(lèi)攻擊通常被稱(chēng)為“零日”攻擊。

　　例如，一種常見(jiàn)的零日攻擊就是脈沖式DDoS攻擊，在切換到另一個(gè)攻擊矢量之前，該攻擊會(huì )利用高容量攻擊的短時(shí)脈沖。這些攻擊通常會(huì )結合許多不同的攻擊矢量，依賴(lài)需要手動(dòng)優(yōu)化的傳統安全解決方案的企業(yè)在面對這些打了就跑的戰術(shù)時(shí)往往會(huì )陷入困境。

　　另一類(lèi)零日攻擊是放大攻擊。放大攻擊通常會(huì )采用請求和響應包大小嚴重不對稱(chēng)的通信協(xié)議。此類(lèi)攻擊會(huì )將流量從不參與攻擊的第三方服務(wù)器上反射出來(lái)，放大攻擊流量，進(jìn)而擊垮攻擊目標。

　　據Radware 2017-2018年ERT報告稱(chēng)，42%的企業(yè)都遭受了脈沖式攻擊，40%的企業(yè)聲稱(chēng)遭受了放大DDoS攻擊。這些趨勢說(shuō)明了零日攻擊防護功能在現代DDoS防護機制中的必要性。

　　由于DDoS攻擊變得越來(lái)越復雜，區分合法流量和惡意流量也隨之變得越來(lái)越困難。對于可以模仿合法用戶(hù)行為的應用層（L7） DDoS攻擊而言尤為如此。

　　許多安全廠(chǎng)商采用的常見(jiàn)機制就是基于流量閾值來(lái)檢測攻擊，并使用速率限制來(lái)限制流量峰值。然而，這是一種非常粗糙的攻擊攔截方式，因為此方法無(wú)法區分合法流量和惡意流量。在流量顯著(zhù)增加的購物季等活動(dòng)高峰期，這是一個(gè)非常嚴重的問(wèn)題。速率限制等單一的防護機制無(wú)法區分合法流量和攻擊流量，最終會(huì )攔截合法用戶(hù)。

　　然而，一種可以更有效檢測并攔截攻擊的方法就是采用了解什么是正常用戶(hù)行為的行為分析技術(shù)，并攔截所有不符合這種行為的流量。這不僅可以提供更高水平的防護，而且可以實(shí)現更低的誤報率，并且不會(huì )在流量高峰期攔截合法用戶(hù)。

　　因此，采用了基于行為分析的檢測（和緩解）的DDoS防護措施確實(shí)是有效的DDoS防護中的必備功能。

　　企業(yè)服務(wù)水平協(xié)議（SLA）是企業(yè)安全提供商承諾為其提供的保障。毫不夸張的說(shuō)，企業(yè)安全完全取決于企業(yè)的SLA。

　　許多安全廠(chǎng)商都大肆宣揚自己的能力，但一旦到了要做出實(shí)際承諾的時(shí)候，他們的宣揚就會(huì )化為泡影。

　　為了確保企業(yè)能獲得安全廠(chǎng)商宣傳手冊上描述的所有服務(wù)，企業(yè)需要告訴安全廠(chǎng)商要采取切實(shí)措施，并提供詳細的SLA，其中包括對檢測、緩解和可用性指標的具體承諾。SLA必須涵蓋整個(gè)DDoS攻擊生命周期，以便確保企業(yè)在任何場(chǎng)景下都能得到充分的保護。

　　如果企業(yè)的安全提供商無(wú)法提供此類(lèi)承諾，企業(yè)就應該對該廠(chǎng)商能否提供高質(zhì)量的DDoS攻擊防護產(chǎn)生懷疑。這也是細粒度SLA能成為現代DDoS防護措施中必備功能的原因。

　　Radware是為物理數據中心、云數據中心和軟件定義數據中心提供網(wǎng)絡(luò )安全和應用交付解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎架構、應用及企業(yè)IT防護服務(wù)，確保企業(yè)的數字體驗。Radware解決方案成功幫助了全球12,500多家企業(yè)和運營(yíng)商客戶(hù)快速應對市場(chǎng)挑戰，保持業(yè)務(wù)連續性，在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。