在本文的前半部分“ 了解DDoS攻击”中，我们讨论了DDoS攻击的基本要素。在这里，我们将讨论如何采取实际步骤来保护您的组织免受DDoS的破坏。

2019年，超过80％的公司遭受至少一种DDoS攻击。这不再是是否要解决的问题，而是何时组织您将受到DDoS攻击。

公司如何实施有效的策略来防御DDoS攻击？让我们来看看。

减轻DDoS攻击的最佳做法

2016年，我们看到了第一个武器化的物联网僵尸网络攻击，它使用Mirai恶意软件有效地关闭了 Netflix，Twitter，Reddit等主流网站。从那时起，黑客可用的工具和方法仅在增加。更糟糕的是，发动DDoS攻击的代价下降了。只需200美元即可租用一个僵尸网络，并保证290-300吉比特的DDoS攻击率。

对于每个企业而言，都有某种防范大型DDoS攻击的保护很重要。许多经典形式的DDoS保护都无法对数据冲击采取细微差别的方法。他们没有将合法数据与恶意数据分开，而是简单地不加选择地丢弃了所有传入数据。

但是，并非每种类型的DDoS保护都对每种攻击都有效。基于流量的监视对于批量攻击有效，而对于网络协议和应用程序攻击则不太有效。另一方面，数据包分析对这三个都有效。

您的ISP或云提供商提供的DDoS保护不太可能提供您需要的全面防御系统。他们有兴趣保护自己的基础设施。您有兴趣保护您的应用程序和网络。因此，您不应该完全依靠它们来提供全面的DDoS保护。

DDoS保护的四个要求

现代的DDoS防御应包括四个关键要求：

1. 精度：对于公司来说，实施精确的DDoS防御系统至关重要。与更钝的防御系统（例如远程触发黑洞过滤或RTBH）不同，精确的保护解决方案可以查明威胁并相应地减轻威胁。这有助于避免代价高昂的错误（例如误报或否定），这些错误可能会阻止合法用户或导致漏报。

2. 可扩展性：最大的DDoS攻击在2018年3月达到了每秒1.35兆比特。鉴于当今DDoS攻击的绝对规模，对DDoS防护系统的深度，广度和高度进行扩展比以往任何时候都更为重要。根据数据包速率，攻击机器人的数量和攻击的比特率，无法扩展的系统可能被证明是不够的。

3. 战时响应效率：自动化的DDoS防御系统可以消除对昂贵且耗时的手动干预的需求。它应该自动检测，缓解，报告DDoS攻击并从中学习。在多媒介攻击（同时使用多种技术和方法）的情况下尤其如此。

4. 可承受性：公司可以使用更小，更高效和更实惠的DDoS保护系统在不牺牲性能的情况下保持低成本。这减少了所需的设备数量，降低了成本并减少了机架空间，从而节省了时间和金钱。

不幸的是，由于以下原因，旧系统无法满足这些要求：

• 缺乏精度：流量检测无法检测复杂的网络和应用程序攻击。

• 缺乏规模：需要机架才能创造有利可图的清洁管道服务。

• 缺乏自动化：需要训练有素的专家来启动耗时的手动干预。

• 负担不起：旧式系统过于昂贵，无法扩展。

DDoS保护的现代方法

多向量DDoS攻击的频率呈指数增长。IDG的DDoS策略研究表明，UDP洪水攻击占所有攻击的20％。按层分类：

• 29％的攻击发生在网络层

• 在应用层占25％

• 在网络层占25％

• 基础设施服务占21％

黑客正在对单一目标使用多种类型的攻击。对于现代DDoS防护解决方案而言，拥有四个关键要求中的每一个都比以往任何时候都更为重要：精度，可伸缩性，战时响应效率和可承受性。如果不全面，则有效的DDoS防护策略将不足。公司应优先考虑多层混合解决方案，该解决方案可以提供持续保护，免受任何类型的DDoS攻击。

一种现代化的，从上到下的DDoS保护方法使用多种工具并实现多个目标：

• 分层的深度检测：使用具有成本效益的反应模式和分层的数据包检测。

• 带有机器学习功能的智能自动化：无需人工干预。

• 通过单独的策略可扩展到100K受监视实体：提供有利可图的清洁管道服务。

• 克服组织孤岛问题：允许组织利用公共资源和人才。

公司通常实施三种部署模式之一。

• 主动式：主动式部署模式始终会监视传入流量并对其进行检测和缓解。因此，这是企业将基于数据包的检测和缓解设备放置在网络边缘的一种极其有效的方法。

• 反应：为了得到充分掌握网络的流量的反应性的部署模式使用基于流的数据。它的工作原理是将特定的流量路由到缓解器，将其清除干净，然后将其重定向回网络。此模式是ISP或云提供商最常提供的一种模式。

• 混合：混合部署模式使用按需云缓解功能来应对容量攻击，以及基于行和本地数据包的解决方案，这些解决方案旨在检测和缓解DDoS攻击的三种主要类型：容量，网络协议和应用。

为了从DDoS保护的现代方法中受益并充分防御多矢量攻击，通常建议组织采用混合部署模式。

DDoS云清理

公司还需要寻找提供DDoS云清理的解决方案。这需要在攻击过程中使用云服务来转移组织数据中心的流量。然后，云清理服务将消除恶意流量，然后再通过ISP将合法流量发送回其正常路径。

DDoS威胁情报

威胁情报是DDoS防御策略的另一个重要方面。没有它，公司将被迫使用猜测和盲目缓解来抵御攻击。借助威胁情报，组织可以在攻击网络之前识别出各种常见威胁。

公司努力从不完整和过时的威胁情报数据中找到重要的见解。对于公司而言，至关重要的是，它需要实时获取可操作的威胁情报数据，以主动监视对象（例如僵尸网络，反射攻击代理的IP地址等）。

正确的DDoS防御工具

公司不应低估寻找合适的DDoS防御工具的重要性。组织必须首先了解哪种类型的攻击最常见，哪些正在流行。放大攻击是目前最常见的攻击，紧随其后的是有状态的洪水，洪水通常是由僵尸网络发起的。这包括IoT僵尸网络，例如Mirai攻击中使用的僵尸网络。

总而言之，归功于以下各项的存在，将技术与流程融为一体的全面DDoS解决方案将获得成功：

• 专用的本地设备可以保持24/7警惕。

• 可以对任何类型的攻击做出反应并作出反应的专业事故团队。

• 云可以用作转移流量的目的地。

DDoS防御的六个步骤

在DDoS攻击期间，有效的防御措施包括：

1. 本地设备会自动检测攻击并激活缓解程序。

2. 当攻击升级到一定级别时，事件响应团队会自动收到警报，而无法成功缓解。

3. 事件响应团队通过核实发生了真正的攻击（而不是误报），分析攻击，提供缓解指导并在需要时建议云层摆动来参与进来。

4. 转移信号以及有关攻击的详细信息会发送到云中。

5. 云团队通常使用边界网关协议（BGP）或域名系统（DNS）将流量转移进行清理。

6. 攻击结束后，流量将通过ISP恢复到其正常路径。