DDoS缓解的基本工作原理和关键功能

什么是DDoS缓解？

DDoS 缓解是指成功保护目标服务器或网络以抵御分布式拒绝服务 (DDoS) 攻击的过程，目标受害者可以使用专门设计的网络设备或基于云的保护服务缓解传入的威胁。

为什么需要DDoS缓解解决方案？

由于网络构成的基本逻辑，导致在线破坏者在拒绝服务的策略上占据优势，他们可以通过让您的业务离线几分钟、几小时或几周，来实现相关的攻击操作。根据国际知名杀毒软件卡巴斯基的相关报告，DDoS攻击平均使企业损失超过200万美元。

DDoS攻击的有形成本包括

安装应用程序并重新运行的成本

应用程序不可用时客户的收入损失

勒索，以防黑客要求

无形资产包括

品牌声誉

失去客户信任影响未来销售

以DDoS缓解解决方案的形式添加安全控制可以降低DDoS损坏的风险。

缓解解决方案的几个关键好处是：

将业务风险降至最低并减少停机时间

在不影响质量的情况下，最大限度地降低与web安全相关的成本

保护网站和应用程序性能吞吐量攻击

基于安全规则防御现有和新的威胁

使用最新的安全策略防止不断发展的攻击

DDoS缓解如何工作？

DDoS缓解通过识别和阻止攻击流量的来源来工作，例如使用防火墙规则或速率限制。此外，DDoS保护解决方案在攻击流量到达受保护的网络或网站之前吸收和过滤攻击流量。这些解决方案通常使用流量整形、过滤和将流量重定向到清理中心，在那里分析和过滤攻击流量。

DDoS抵御解决方案分四个阶段工作：

1吸收

抵御DDoS攻击的第一步是吸收攻击，这样可以保护系统不会停机。所以无论您选择什么解决方案，第一要务是了解应用程序每分钟的请求和并发IP有多少，进行多次测试是至关重要的。通常来说火伞云认为基于云的DDoS保护解决方案更好，因为它们具有自动扩展功能。本地服务方案由于服务器数量的限制，内部部署解决方案显得力不从心。

2检测

下一步是检测它是否是有效的DDoS攻击，解决方案应该能够告诉：

URI级别有多少个请求？

来自IP的请求数量？

会话/主机级别有多少个请求？

整个域中有多少个请求？

3预防

下一步是防止攻击传递到应用程序。DDoS保护解决方案识别攻击向量并阻止使用这些攻击向量发出的请求，然后，该解决方案检测各种多向量攻击。人工智能在DDoS攻击防范中发挥着重要作用。理想情况下，缓解解决方案应能够使用过去的数据并预测现场行为。在任何时间点，解决方案都应该能够尽可能详细地建议和应用“速率限制”。这些包括URI、会话/主机、IP和域速率限制。

4报复

报复是WAF供应商提供的“托管服务”或DDoS保护服务的一大亮点。虽然人工智能可以建议速率限制，甚至应用“阻止规则”，但拥有DDoS缓解解决方案将在很大程度上减少误报。毕竟，从根本上讲，DDoS攻击看起来像是合法请求。

DDoS抵御解决方案分两个阶段工作：

监视：托管服务团队监视所有传入警报。例如，假设通常每分钟访问一次的图像文件突然每分钟访问100次。总的来说，在站点级别，它是请求的一个小增量。然而，人工智能将提醒托管服务团队和应用程序所有者。

缓解：第二步是缓解。在分析了所有趋势（包括每分钟请求数、恶意IP等）后，解决方案提供商团队应该能够添加手术速率限制规则。还应添加其他缓解机制，包括tarpitch、CAPTCHA等。

DDoS抵御解决方案的关键功能

以下是基于行为的DDoS保护的高级功能，可提供针对复杂DDoS攻击的终极保护。

1速率限制

速率限制是DDoS攻击缓解方法的标准功能，它使您能够限制来自某些IP的流量。它有助于阻止应用程序、用户或机器人程序过度使用您的资源。  除了静态速率限制外，解决方案还应该能够基于应用程序的行为配置策略。如果出现异常，解决方案应该能够触发警报。

2颗粒水平控制

DDoS缓解解决方案使您能够添加细粒度配置，以使用自定义策略防止攻击。用户可以基于Geo、URI、IP标头以及源和目标IP定义策略。理想情况下，这些策略的阈值应通过基于行为的流量分析自动配置。也就是说，营销活动可能会产生突发请求，利用托管服务团队进行DDoS保护将有助于减少误报。

3全球控制

IP白名单和黑名单在管理内部服务器请求和来自实际用户的请求方面发挥着关键作用。

将特定IP地址或国家/地区列入黑名单和白名单非常重要，原因如下：

您不希望应用程序的某些部分在特定国家/地区工作

您不想使应用程序的某些部分可供公众访问

您希望允许优秀的机器人程序访问您的应用程序

您有向生产服务器发出异常高请求的内部服务器；它们既不应被WAF阻止，也不应改变行为DDoS速率限制策略

鉴于要管理的IP列表，安全管理员管理每个应用程序的多个文件中的黑名单和白名单记录变得很有挑战性。使用全局控制，用户可以在单个仪表板中查看所有黑名单/白名单IP或国家/地区的状态，并修改相同的状态。火伞云也更进一步；它允许您在所有应用程序中批量输入IP地址/国家/地区到黑名单/白名单，而不是需要您挨个进行自定义输入。它还允许您覆盖这些全局规则，并为特定应用程序修改一些规则。

不仅仅是IP，而是IP范围。在火伞云DDOS解决方案中，您甚至不必单独输入所有IP地址；如果您有一组需要列入黑名单/白名单的IP地址，您可以通过简单地提及它们来输入这样的IP地址系列。

例如，192.168.1.1/24将阻止192.168.3.1、192.168.2.2、192.188.1.3….到192.1680.124的所有IP地址，从上述选择中没有规则将应用于IP 192.1681.25。

不仅如此，火伞云还允许安全管理员审查所有黑名单和白名单操作，并帮助调试任何安全漏洞。

4自动扩展性

大多数DDoS攻击都会创建大量流量来耗尽资源容量。有时，当流量和网络规模扩大时，预防就失去了控制。因此，缓解过程失败。DDoS保护解决方案利用了高度可扩展的基础架构。这样他们就可以根据必须处理的数据量增加流量。

例如，火伞云旨在吸收最大的DDoS攻击。它利用华为云的DDOS基础架构来阻止大型攻击流量。在启用自动缩放的同时，我们评估了10000个并发IP中高达2.3 TBps的DDoS攻击。

5监控和警报

DDoS缓解解决方案应能够持续监控以您的资源为目标的潜在攻击，并能够向应用程序所有者/或托管服务团队发送实时警报，以监视攻击，并在需要时采取任何纠正措施。警报可以突出显示被攻击的域、攻击的协议、会话详细信息、用户代理、地理位置、IP以及有助于区分有效请求和无效请求的任何其他信息，此功能大大减少了检测和阻止DDoS攻击所需的时间。

6内容交付网络

DDoS保护服务可以通过启用CDN来减轻源服务器的负载。当接收到请求时，CDN服务器将使用所请求页面的缓存版本进行响应。在DDoS攻击的情况下，CDN可以通过将攻击流量重定向到多个服务器来吸收和分发攻击流量，这有助于防止攻击流量压倒源服务器并导致网站不可用。DDoS解决方案在保护源服务器的同时保护和加速站点的性能。

7BOT保护

黑客通常创建机器人军队来发起DDoS攻击，高级DDoS保护的多层架构配备了机器人程序保护策略。 现如今，机器人正在使用狡猾的技术伪装成正常机器人（比如百度或谷歌机器人），因为黑客知道baidubot/Googlebot是一个所有企业都会被列入白名单的机器人。

例如，BOT伪装者策略有助于检测和阻止假装是有用的机器人的恶意机器人。

8更广泛的可见性

DDoS保护不仅仅用于阻止攻击。该解决方案必须为用户提供有关攻击的重要见解和分析。您可以查看按IP和URL分类的攻击统计信息。

缓解报告包括流量统计、前5名IP、前5个国家和前5个URI。深度可见性简化了取证，并确保准确的DDoS抵御。