滴盾网络：公司如何实施有效的策略来防御DDoS攻击？

　 2019年，超过80%的公司遭受至少一种DDoS攻击。这不再是是否要解决的问题，而是何时组织您将受到DDoS攻击。

　　公司如何实施有效的策略来防御DDoS攻击?让我们来看看。

　　减轻DDoS攻击的最佳做法

　　对于每个企业而言，都有某种防范大型DDoS攻击的保护很重要。许多经典形式的DDoS保护都无法对数据冲击采取细微差别的方法。他们没有将合法数据与恶意数据分开，而是简单地不加选择地丢弃了所有传入数据但是，并非每种类型的DDoS保护都对每种攻击都有效。基于流量的监视对于批量攻击有效，而对于网络协议和应用程序攻击则不太有效。另一方面，数据包分析对这三个都有效。您的ISP或云提供商提供的DDoS保护不太可能提供您需要的全面防御系统。他们有兴趣保护自己的基础设施。您有兴趣保护您的应用程序和网络。因此，您不应该完全依靠它们来提供全面的DDoS保护。

　　一、DDoS保护的四个要求

　　现代的DDoS防御应包括四个关键要求：

　　精度：对于公司来说，实施精确的DDoS防御系统至关重要。与更钝的防御系统(例如远程触发黑洞过滤或RTBH)不同，精确的保护解决方案可以查明威胁并相应地减轻威胁。这有助于避免代价高昂的错误(例如误报或否定)，这些错误可能会阻止合法用户或导致漏报。

　　可扩展性：最大的DDoS攻击在2018年3月达到了每秒1.35兆比特。鉴于当今DDoS攻击的绝对规模，对DDoS防护系统的深度，广度和高度进行扩展比以往任何时候都更为重要。根据数据包速率，攻击机器人的数量和攻击的比特率，无法扩展的系统可能被证明是不够的。

　　战时响应效率：自动化的DDoS防御系统可以消除对昂贵且耗时的手动干预的需求。它应该自动检测，缓解，报告DDoS攻击并从中学习。在多媒介攻击(同时使用多种技术和方法)的情况下尤其如此。

　　可承受性：公司可以使用更小，更高效和更实惠的DDoS保护系统在不牺牲性能的情况下保持低成本。这减少了所需的设备数量，降低了成本并减少了机架空间，从而节省了时间和金钱。

　　二、DDoS保护的现代方法

　　多向量DDoS攻击的频率呈指数增长。IDG的DDoS策略研究表明，UDP洪水攻击占所有攻击的20%。按层分类：

　　29%的攻击发生在网络层

　　在应用层占25%

　　在网络层占25%

　　基础设施服务占21%

　　黑客正在对单一目标使用多种类型的攻击。对于现代DDoS防护解决方案而言，拥有四个关键要求中的每一个都比以往任何时候都更为重要：精度，可伸缩性，战时响应效率和可承受性。如果不全面，则有效的DDoS防护策略将不足。公司应优先考虑多层混合解决方案，该解决方案可以提供持续保护，免受任何类型的DDoS攻击。

　　一种现代化的，从上到下的DDoS保护方法使用多种工具并实现多个目标：

　　分层的深度检测：使用具有成本效益的反应模式和分层的数据包检测。

　　带有机器学习功能的智能自动化：无需人工干预。

　　通过单独的策略可扩展到100K受监视实体：提供有利可图的清洁管道服务。

　　克服组织孤岛问题：允许组织利用公共资源和人才。

　　公司通常实施三种部署模式之一。

　　主动式：主动式部署模式始终会监视传入流量并对其进行检测和缓解。因此，这是企业将基于数据包的检测和缓解设备放置在网络边缘的一种极其有效的方法。

　　反应：为了得到充分掌握网络的流量的反应性的部署模式使用基于流的数据。它的工作原理是将特定的流量路由到缓解器，将其清除干净，然后将其重定向回网络。此模式是ISP或云提供商最常提供的一种模式。

　　混合：混合部署模式使用按需云缓解功能来应对容量攻击，以及基于行和本地数据包的解决方案，这些解决方案旨在检测和缓解DDoS攻击的三种主要类型：容量，网络协议和应用。

　　为了从DDoS保护的现代方法中受益并充分防御多矢量攻击，通常建议组织采用混合部署模式。

　　DDoS云清理

　　公司还需要寻找提供DDoS云清理的解决方案。这需要在攻击过程中使用云服务来转移组织数据中心的流量。然后，云清理服务将消除恶意流量，然后再通过ISP将合法流量发送回其正常路径。