如果你没有对自己的站点采取一些必要的保护措施,将会使它直接暴露于 DDoS 攻击的风险下且无任何招架之力。你应该对法国大选日 knocked out 网站被 DDoS 攻击和 2016 年十月份时候美国 DNS 服务器被 DDoS 导致无法访问 New York Times 和 Wired 网站的事情还有印象。通过过去这些案例,我们可以了解到 DDoS 其实就是攻击者利用分布在全球各地的肉鸡对目标服务器发起巨量的非正常请求,使得目标服务器忙于处理这些非正常请求而无法处理正常请求,从而达到破坏的目的。

  但如今的 DDoS 攻击手段也在不断发展,它们从过去只是简单的干扰防火墙和 DNS 服务器,进化成了可以精确攻击企业内部的设备和网络应用,从而造成巨大的损失。

  应用层 DDoS 攻击

  不同于网络层的 DDoS,应用层 DDoS 的特点是它们能用更少的流量来达成破坏的目的。应用层的活动需要不断地向应用程序发出调用,如网站、web应用程序、服务器和插件等,攻击者通过占用其所驻留的服务器资源来使应用程序变慢或者停止。

  面向Internet的web应用程序容易受到大量攻击,如跨站点脚本攻击(XSS)和SQL注入攻击。应用层攻击也不同于常见的边界攻击或者网络层攻击,攻击者常通过使用特定命令来将应用程序关闭并占用其服务器资源。

  总的来说,DDoS攻击数量一直都在增加,上面那种针对 knock out 网站的攻击并不是攻击的大头。大部分的 DDoS 攻击更多是针对的托管web应用程序的服务器。

  举个例子,在过去连续四个季度,Incapsula 公司记录了网络层攻击数量从2015年的568起减少到了269起。与此同时,应用层攻击却一直在增加,甚至达到了每周 1099 次。

  安全专家预测,互联网企业每年至少都会遭遇一次 DDoS 攻击。Imperva 负责市场营销的副总裁蒂姆·马修斯(Tim Matthews)在接受《黑暗阅读》(Dark Reading)采访时说:“这(遭受 DDoS 攻击)只是时间问题”

  应用层 DDoS 攻击数量激增的原因有两方面。

  首先,应用程序的数量正在增加。在2016年,半数接受调查的组织表示,他们有意向发布和维护自己的应用程序。

  DDoS 攻击增多的另一个原因主要是由于黑客和有攻击意向的黑客拥有了更多的资源。在过去,黑客想要建立一个僵尸网络或者肉鸡群去攻击某些特定资源成本是非常高的。现在,任何人只要花很少的钱甚至免费,就可以在暗网上获取到攻击软件,或者可以用很低廉的价钱,就可以雇个人为他们做攻击软件。在2015年的时候就已经有学生在尝试这些事情了。

  成本

  任何 DDoS 攻击都会损害客户利益,最终导致企业声誉受损,客户并不关心他们遭受了哪种DDoS,他们只知道他们不能正常使用了。例如,今年2月,黑客 DDoS 攻击了一所美国大学。这次攻击造成了超过两天的网络中断,学生、家长和员工都无法登录学校网站。结果那所学校就只能关闭了。

  可能对于上面例子的学校来说,经济损失难以量化,但对于一家销售产品的企业来说,它的经济损失就会很快上升。以美元为例,一个小时的停机时间可能要花2万美元。这还没有计算对企业的声誉损失和未来销售的软成本。毕竟,用户可能会怀疑,你们连自己都没法保护好,怎么相信你们能把我们的数据保护好呢。

  --ADVERTISEMENT--

  开发需要一个安全的应用环境。

  综合考虑 DDoS 攻击数量的激增、发起攻击的低成本以及攻击对业务造成的巨大影响,很明显,开发人员需要为攻击做好准备。

  但就像大多数 IT 企业一样,开发将安全视为实现目标的障碍。根据 Gartner 的说法,注重安全策略会让开发人员产生一种受阻碍的感觉。更糟糕的是,大多数开发人员在学校没有学习安全编码,如果他们不考虑安全性,就会让应用程序更容易受到攻击。

  Garner 还提出说,开发人员需要改变他们的习惯。他说道,“信息安全架构师必须以协作方式将多个点的安全性集成到开发运维工作流程中,这对开发人员来说应该是透明的,保持了开发的敏捷性和安全性。

  虽然开发人员在不断提高他们的技能,并且几乎每天都在提醒他们需要在代码中注意安全性,但是现在依然还有很多在稳定运营的安全性不足的 APP。缓解此问题最快的方法就是购买提供 Web 应用程序防火墙(WAF)的服务。它是应用一组规则到 HTTP 会话的设备或基于云的服务或两者的组合。通常,这些规则涵盖了常见的攻击,如跨站点脚本(XSS)和 SQL 注入。通过自定义规则,可以识别和阻止许多类型的 Web 攻击。WAF 会在流量到达应用服务器之前就把这些问题解决。

  

  如何为您的网站选择 DDoS 保护服务

  现在正是购买 WAF 的时候,但是市场上有太多的选择。并不是所有的 WAF 和适用情况都是一样的。大家的需求都不太一样。大多数 WAF 都是基于云的,可以在几分钟内部署使用起来。

  以下是一些你在选购 WAF 之前应该弄清楚的问题:

  DDoS 方案是否是众包的?

  使用众包技术可以快速对整个客户群体建立保护。然后把每次遇到的攻击情况收集起来建立一个威胁信息数据库,可以使用大数据分析这些威胁信息。

  服务提供商的市场份额有多少?

  并不是说份额最大的就是最好的,但是当我们需要利用众包的时候,越大的客户群体,对降低攻击风险越有帮助。

  WAF 是否经过PCI SSC认证?

  支付行业(PCI)安全标准委员会是一个与供应商无关的机构,它向证明遵守其12个 PCI 数据安全标准的供应商提供认证。

  DDoS 只在 Prem 上吗

  虽然专用的 DDoS 安全设备可以防止应用程序 DDoS 攻击,但它们不能处理大规模的容量攻击——如超过 200 Gbps 的攻击。为了消除停机时间,必须在到达网络之前阻止这种容量的攻击。虽然在某些情况下,有一个on prem box可能很有用,但是请确认一下服务提供商是否有云解决方案来进行补充。

  您的 WAF 是否需要进行行为异常检测?

  异常检测是利用数据分析检测不符合数据集中期望模式或结果的一种手段。这种检测通常用来检测访问者是否人类

  你打算部署之后就不管了吗?

  只要有足够的持续攻击时间,任何攻击者都可以找到进入网络的方法。人们需要及时意识到从而转变策略。人工智能是好的,但在人类智能的辅助下才能更好

  有一种被称为五环方法的应用层 DDoS 防御方法帮助上述美国大学迅速减轻攻击。Incapsula 是该解决方案的提供商。工程师们在攻击者改变攻击策略的时候同样也进行了调整,使攻击得到了控制。

  DDoS 通常被用于敲诈、勒索、报复,或者仅仅是为了取乐。那些不保护自己网站的开发者将会成为犯罪分子的工具。就像 Incapsula 的蒂姆·马修斯说的,“这只是个时间问题。”

  译文出处:https://www.zcfy.cc/article/how-to-choose-a-ddos-protection-service-for-your-websites

如何选择合适的 DDoS 防御服务的更多相关文章

  1. 什么是DDoS攻击?DDoS防御的11种方针详解

    对于遭受DDOS攻击的情况是让人很尴尬的,如果我们有良好的DDoS防御方法,那么很多问题就将迎刃而解,我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢. 对于DDoS防御的理解: 对付DDOS ...

  2. 自用|DDoS防御产品集合

    这是笔者对国内外的DDoS云防御产品做的一个集合,之前存在自己的文档里很久了,现在修改后发出来大家可以一起看看,有需要的也方便比较按需选择.有免费版的我会放在前面,遇到微量攻击时可以应急,并且也可以感 ...

  3. NoSQL系列:选择合适的数据库

    NoSQL系列:选择合适的数据库 为什么使用NoSQL数据库? 阻抗失衡 关系模型和内存中的数据结构不匹配 采用更为方便的数据交互方式提升开发效率 待处理的数据量很大 数据量超过关系型数据库的承载能力 ...

  4. (转)NoSQL系列:选择合适的数据库

    内容目录: 为什么使用NoSQL数据库? 键值数据库 文档数据库 列族数据库 图数据库 附思维导图 参考 NoSQL系列:选择合适的数据库 为什么使用NoSQL数据库? 阻抗失衡 关系模型和内存中的数 ...

  5. 如何选择合适的PHP开发框架

    PHP作为一门成熟的WEB应用开发语言,已经深受广大开发者的青睐.与此同时,各式各样的PHP开发框架也从出不穷,面对如此多而且良莠不齐的开发框架,开发者们想必都会眼花缭乱,不知道该选择用哪个.其实并没 ...

  6. DDoS防御方案

    转自:http://netsecurity.51cto.com/art/201211/368930.htm 深入浅出DDoS攻击防御应对篇:DDoS防御方案 谈到DDoS防御,首先就是要知道到底遭受了 ...

  7. 为Hadoop集群选择合适的硬件配置

    随着Apache Hadoop的起步,云客户的增多面临的首要问题就是如何为他们新的的Hadoop集群选择合适的硬件. 尽管Hadoop被设计为运行在行业标准的硬件上,提出一个理想的集群配置不想提供硬件 ...

  8. Java or Python?测试开发工程师如何选择合适的编程语言?

    很多测试开发工程师尤其是刚入行的同学对编程语言和技术栈选择问题特别关注,毕竟掌握一门编程语言要花不少时间成本,也直接关系到未来的面试和就业(不同企业/项目对技术栈要求也不一样),根据自身情况做一个相对 ...

  9. 阿里云IPv6 DDoS防御被工信部认定为“网络安全技术应用试点示范项目”

    ​​近日,阿里云数据中心骨干网IPv6 DDoS网络安全防御被工业和信息化部认定为“网络安全技术应用试点示范项目”,本次评选由工业和信息部网络安全管理局发起,从实用性.创新性.先进性.可推广性等维度展 ...

随机推荐

  1. ES6知识整理(2)--变量的解构赋值

    最近准备在业余空闲时间里一边学习ES6,一边整理相关知识.只有整理过的学习才是有效的学习.也就是学习之后要使用和整理成文,才是真正的学到了... 上一篇是一个试水,现在接上. 变量提升 看了下朋友回复 ...

  2. 在linux系统中安装redis

    使用的工具是 连接上虚拟机,进入安装文件的目录 进入redis压缩包中 将压缩包解压: tar -zxvf redis-2.8.3.tar.gz 进入这个文件中:  cd redis-2.8.3 进入 ...

  3. com.sun.jersey.api.client.UniformInterfaceException:returned a response status of 403

    这是在同一台电脑上,然后启动两台tomcat进行文件传输时候,会出现的一个异常. 403,是因为tomcat默认禁止上传,在tomcat中的config中的web.xml中进行以下的配置就可以进行文件 ...

  4. scrapy 日志处理

    Scrapy生成的调试信息非常有用,但是通常太啰嗦,你可以在Scrapy项目中的setting.py中设置日志显示等级: LOG_LEVEL = 'ERROR' 日志级别 Scrapy日志有五种等级, ...

  5. 【题解】Luogu P2787 语文1(chin1)- 理理思维

    原题传送门:P2787 语文1(chin1)- 理理思维 前置芝士:珂朵莉树 窝博客里对珂朵莉树的介绍 没什么好说的自己看看吧 珂朵莉树跑的飞快,但还是没有memset0小姐姐跑得快 操作1:暴力统计 ...

  6. 思维导图软件 xMind 基本用法

    官方下载:https://www.xmind.net/download/win/ 官方快捷键说明:https://www.xmind.net/blog/cn/tag/xmind%EF%BC%8C%E5 ...

  7. DL_WITH_PY系统学习(第2章)

    ​ 本节提示: 1.第一个dl例子: 2.tensor和tensor操作: 3.DL如何通过逆向传播和梯度下降达到学习目的. 2.1 输入数据集的格式 ,*,))) network.add(layer ...

  8. Python3基础 list del 从内存中删除整个列表

             Python : 3.7.0          OS : Ubuntu 18.04.1 LTS         IDE : PyCharm 2018.2.4       Conda ...

  9. newcoder F石头剪刀布(DFS + 思维)题解

    题意:wzms 今年举办了一场剪刀石头布大赛,bleaves 被选为负责人. 比赛共有 2n 个人参加, 分为 n 轮, 在每轮中,第 1 位选手和第 2 位选手对战,胜者作为新的第 1 位选手, 第 ...

  10. CodeChef - ELHIDARR Find an element in hidden array(互动题)题解

    题意:有一串不递减的串,串中的任意元素都有k个,除了一个元素,他只有1 <= n < k-1个,你现在能向oj做出以下操作: 输出:1 pos,oj会返回pos位置的元素值 输出:2 va ...