DDoS防御：DDoS攻击防御系统如何工作？

DDoS防御：DDoS攻击防御系统如何工作？

1、评估您的风险

选择 DDoS防御服务的第一步是评估您的风险。重要的基本问题包括：

1、哪些基础设施资产需要保护？
2、哪些是软点或单点故障？
3、需要做什么才能关闭它们？
4、您如何以及何时知道您已成为攻击目标？会不会太晚？
5、长时间中断会产生哪些影响（财务和其他方面）？
6、掌握了这些信息后，就该优先考虑您的问题，并在您的安全预算框架内研究各种 DDoS 缓解选项。

如果您正在运行商业网站或在线应用程序（例如 SaaS 应用程序、网上银行、电子商务），您可能需要 24×7 全天候保护。另一方面，大型律师事务所可能更关心保护其基础设施（包括电子邮件服务器、FTP 服务器和后台平台），而不是网站。此类企业可能会选择“按需”解决方案。

2、选择部署方法

第二步是选择部署方法。在整个子网中为您的核心基础设施服务部署按需 DDoS 保护的最常见和最有效的方法是通过边界网关协议 (BGP) 路由。但是，这只能按需工作，需要您在发生攻击时手动激活安全解决方案。

因此，如果您需要为您的 Web 应用程序提供始终在线的 DDoS 保护，则应使用 DNS 重定向通过 DDoS 保护提供商的网络（通常与内容交付网络集成）重新路由所有网站流量（HTTP/HTTPS）。此解决方案的优势在于，大多数 CDN 都提供随叫随到的可扩展性来吸收容量攻击，同时最大限度地减少延迟并加速内容交付。

处理网络层攻击需要额外的可扩展性——超出您自己的网络所能提供的范围。

因此，在发生攻击时，会发出 BGP 公告，以确保所有传入流量都通过一组清洗中心进行路由。每个清洗中心都有能力处理数百 Gbps 的流量。然后，位于清洗中心的强大服务器将过滤掉恶意数据包，只通过 GRE 隧道将干净的流量转发到原始服务器。

这种缓解方法可防止直接针对 IP 的攻击，并且通常与所有类型的基础设施和通信协议兼容（例如 UDP、SMTP、FTP、VoIP）。

3、缓解应用层攻击

缓解应用层攻击依赖于可以根据需求扩展的流量分析解决方案，同时还能够区分恶意机器人和合法网站访问者。

对于流量分析，最佳实践要求基于签名和基于行为的启发式方法，结合 IP 信誉评分和逐步使用安全挑战（例如 JS 和 cookie 挑战）。

这些方法结合起来可以准确地过滤掉恶意机器人流量，防止应用层攻击，而不会对合法访问者产生任何影响。