2019年(nián)面對(duì)全新的(de)D←®DoS攻擊,企業(yè)需做(zuò)好(♥ hǎo)哪些(xiē)防護措施？

随著(zhe)互聯網網絡的(de)不(bù)斷發展，在給人(rén)≈γ♣×們帶來(lái)各種便利的(de)同時(shí)，DDoS攻擊的(de)規模也(yě)越來(lái)越大(dà✘ → )，現(xiàn)在已經進入了(le) Tbps的βλ(de)DDoS攻擊時(shí)代。DDoS攻擊不(bù)僅規≠ ₹✘模越來(lái)越大(dà)，攻擊方式也(yě)λ<越來(lái)越複雜(zá)，很(hěn)多(du  ō)傳統的(de)DDOS防護措施已無法應對(duì)日(rì)益進化φ≠¥(huà)的(de)攻擊手段。為(wèi)了(le)确¥ $±保企業(yè)能(néng)完全應對(duì)各種全新的(de)DDOS☆δ>​攻擊，企業(yè)必須加強和(hé)升級DDoS防禦措施，今天墨者安全就(jiù)來(lái)♠ ​說(shuō)說(shuō)2019年(nián)面對 ↓(duì)全新的(de)DDoS攻擊企業(yè)需做(≠↓zuò)好(hǎo)哪些(xiē)防護措施？

1、應用(yòng)層DDoS防護

應用(yòng)層(L7) DDoS攻擊已經超過網絡層(‍ ±©L3/4)攻擊，成為(wèi)了(le)最廣泛的(de)攻∑•π∏擊矢量。根據相(xiàng)關數(shù)據統計(jì)，64%的(de)÷δ企業(yè)都(dōu)面臨著(zhe)應用(yòng)層攻擊，相(x✔§φφiàng)比之下(xià)，面臨網絡層攻擊的(de)企™‍•業(yè)僅為(wèi)51%。而在所有(yǒu>σεσ)的(de)攻擊類型中，HTTP洪水(shuǐ)攻擊排名第一(y<ε<ī)。此外(wài)，SSL、DNS和(hé)SMTP攻擊也(yě)是(shì←↓)常見(jiàn)的(de)應用(yòng)層攻擊類型×ε。這(zhè)些(xiē)趨勢暗(àn)示了( ←₽↓le)，現(xiàn)代DDoS防護已經不(bù)隻是(shì)為(w≥∏£αèi)了(le)防禦網絡層DDoS攻擊。為(★ wèi)了(le)讓企業(yè)得(de)到(dào)充分(fēn)¥>δ保護，現(xiàn)代DDoS防護措施必須包含可(±♥δΩkě)以防禦應用(yòng)層(L7)攻擊的(de)內(nèi)•×$置防禦措施。

2、SSL DDoS洪水(shuǐ)防護

目前，加密流量占了(le)互聯網流量的(de)一(₩→yī)大(dà)部分(fēn)。全球70%以上♦©★↔(shàng)的(de)網站(zhàn)都σ¥₹☆(dōu)是(shì)通(tōng)過HTTPS傳輸的(de)，這(zhè₩<★')一(yī)比例在美(měi)國(guó)和(hé)德國(guó)等市↔λ¶(shì)場(chǎng)中更高(gāo)。然而，™"∑這(zhè)種增長(cháng)也(yě)帶來(lái)了(le)重大→•(dà)的(de)安全挑戰：與常規請(qǐng)求相 >ε•(xiàng)比，加密請(qǐng)求可(kě)能(néng)需要(yào)★Ω>​高(gāo)達15倍以上(shàng)的(de←→)服務器(qì)資源。這(zhè)就(jiù)意味著(zhe)，複雜  (zá)的(de)攻擊者即使利用(yòng)少(s♣£σαhǎo)量流量也(yě)可(kě)以擊垮一(yī)個(gè)網站(zh←≈™εàn)。由于越來(lái)越多(duō)的(de)流量都(dōu)是∑♥(shì)經過加密的(de)，SSL DDoS洪水(shu β¶ǐ)成為(wèi)了(le)黑(hēi)客越來(lái)越常用(yòng)的(πδ★™de)攻擊矢量。鑒于基于SSL的(de)D±φ×DoS攻擊的(de)威力，對(duì)希望得(de)到(dào)充分(f✔∑♠ēn)保護的(de)企業(yè)而言，可(kě)以防禦SSL DDoS洪'₽水(shuǐ)的(de)高(gāo)水(sh₩βuǐ)平防護措施是(shì)必不(bù)可(kě)♣↕→少(shǎo)的(de)。

3、零日(rì)防護

攻擊者在不(bù)斷尋找新的(de)方法，繞過傳統的(de$")安全機(jī)制(zhì)，并利用(yòn☆∏↔g)前所未見(jiàn)的(de)攻擊方法攻擊企↔↔業(yè)。即使對(duì)攻擊特征碼做(zuò)一(yī)些(xiē)微(€&>wēi)小(xiǎo)修改，黑(hēi)客也(yě)能(néng)•‌創造出手動特征碼無法識别的(de)攻擊。$'≠₹這(zhè)類攻擊通(tōng)常被稱為(wè★$÷i)“零日(rì)”攻擊。最常¥∑≈見(jiàn)的(de)零日(rì)攻擊有(yǒu)脈沖式DDoS攻擊‌≠和(hé)放(fàng)大(dà)式攻擊，據相(xiàng)關數(s♦β"£hù)據統計(jì)，42%的(de)企業(y↕∏±è)都(dōu)遭受了(le)脈沖式攻擊，40%•&≈δ的(de)企業(yè)聲稱遭受了(le)放≥₽(fàng)大(dà)DDoS攻擊。這(zhè)些Ω ‌(xiē)趨勢說(shuō)明(míng)了(le)零日(rε≈ ≠ì)攻擊防護功能(néng)在現(xiàn)代DDoS防護機(jī)制(∞•φ∏zhì)中的(de)必要(yào)性。

4、行(xíng)為(wèi)防護

由于DDoS攻擊變得(de)越來(lái)越複雜(zá)，區$✘ ≠(qū)分(fēn)合法流量和(hé)惡意流量'δβ也(yě)随之變得(de)越來(lái)越'÷≥§困難。許多(duō)安全廠(chǎng)商采用(yòng)的π Ω•(de)常見(jiàn)機(jī)制(zhì)就(j₩ →φiù)是(shì)基于流量阈值來(lái)檢測攻擊，并使用(yòn><g)速率限制(zhì)來(lái)限制(zhì)流量∑&♥♥峰值。然而，這(zhè)是(shì)一(yī)種非常粗糙的(de)攻擊攔↓αδ截方式，因為(wèi)這(zhè)種防禦手段很(hěn)難區'→©(qū)分(fēn)真實流量和(hé)攻擊流量。特别是(shì)"​$&在流量高(gāo)峰期間(jiān)，速率限制(zhì)等單一(y♥☆φī)的(de)防護機(jī)制(zhì)無法區(q≈₽∏ū)分(fēn)合法流量和(hé)攻擊流量，最終會(huì)攔截合±•法用(yòng)戶。因此，采用(yòng)了(le)基于行(xíng)為(•≥♠wèi)分(fēn)析的(de)檢測(和(hé)緩解)的(¶±πde)DDoS防護措施确實是(shì)有(yǒu)效的(de)∏≥DDoS防護中的(de)必備功能(néng)。