实施DDoS缓解控制措施,对DDoS攻击说不!, 针对分布式拒绝服务的缓解方案不可忽视,因为这种攻击的频率和复杂性给更多的企业组织构成了威胁。如今的DDoS攻击结合了大强度的蛮力攻击和应用程序层攻击,尽量造成最大程度的破坏,并躲避检测机制。有些DDoS攻击利用了成千上万中招的系统或Web服务,会给企业在成本和声誉方面极其重大的破坏,拒绝服务日益成为高级针对性攻击的一部分。好消息是,你可以使用好多工具,尽量减小这种类型的攻击给客户和收入造成的影响。, 想缓解DDoS,首先就要确保你已定义了事件响应流程,并且明确了责任,这就需要多个小组通力合作。DDoS防范规划需要安全团队与网络操作人员、服务器管理员和桌面支持人员以及法律顾问和公关经理携起手来。, 一旦DDoS事件响应方案落实到位,你就可以关注四大方面的DDoS缓解控制措施,尽量减小DDoS攻击给业务造成的干扰和破坏。在此按重要性顺序排列:, •互联网服务提供商(ISP)。大多数ISP都有“洁净的网络管道”(Clean Pipe)或DDoS缓解服务,收费通常要比标准的带宽成本高一些。基于ISP的服务对许多中小企业来说很管用,也符合预算方面的要求。别忘了一点:云服务提供商和主机托管商也是ISP。, •DDoS缓解即服务提供商。如果你有多家ISP,第三方DDoS缓解即服务提供商也许是一种更明智的选择,不过基于云的服务通常成本更高。如果改变DNS或BGP路由,让攻击流量通过DDoS SaaS提供商来发送,你就能过滤掉攻击流量,无论哪家ISP来为你处理。, •专用的DDoS缓解设备。你可以在互联网接入点部署DDoS缓解设备,以此保护服务器和网络。不过,蛮力攻击可能仍会耗尽你的所有带宽――即使服务器没有崩溃,客户们仍无法正常访问。, •基础设施部件:比如负载均衡系统、路由器、交换机和防火墙。依赖贵企业的操作基础设施来缓解DDoS攻击是注定失败的策略,只能对付最软弱无力的攻击。然而,这些部件在协同缓解DDoS方面却能够发挥作用。, 大多数企业需要外部服务和内部DDoS缓解能力结合起来。对你员工的技能水平作一个切合实际的评估――要是你手下有IT安全人员能检测并分析威胁,先从内部DDoS缓解开始入手,然后逐渐完善策略,加入外部服务。要是你没有足够的人手或者所需的技能组合,不妨从外部服务开始入手,考虑将来添加托管CPE(用户端设备)缓解能力。, 无论你最后选择了哪种架构,每年都要至少测试两次DDoS缓解控制措施。如果你借助外部服务提供商,就要核对路由和DNS方面的变化,确保流量会传送到外部服务,不会有重大干扰――另外还要确保能顺利切回到直接路由。网络配置和DNS路由在正常操作期间常常变动――你要在实际的DDoS攻击之前弄清楚这一点。,
,
实施DDoS缓解控制措施,对DDoS攻击说不!
