为博客和小型企业网站寻找最佳的DDOS保护

文章撰写者:
  • Web工具
  • 更新:Nov 02,2018

人们谈论互联网迅速扩张的日子已经过去很久了,今天我们面临着许多新的数字元素需要考虑。 仅物联网将为地球上最大的网络增加数十亿新设备。

随着这种大规模的扩张,网络犯罪分子,人和组织通过互联网利用设备获取个人利益的机会相等。 这些可以采用病毒,特洛伊木马,勒索软件等形式。

这些网络犯罪分子还有更强大的资源,其中之一就是分布式拒绝服务(DDoS)。 事实上,现在这个问题更加普遍,网络犯罪分子以低至美元150的价格销售DDoS攻击服务。

如今,不仅仅是经验丰富的高科技网络犯罪团队可以成为赎金DDoS攻击者。 任何甚至没有技术知识或技能来组织全面DDoS攻击的欺诈者都可以购买示威性攻击,以敲诈勒索,“卡巴斯基实验室卡巴斯基DDoS保护主管Kirill Ilganaev说道。来源).

DDoS基本上是一种暴力攻击,这意味着它同时是对来自多个其他设备的设备的攻击。

它的工作原理是尝试与目标形成如此多的连接,并使其充满信息,使其不堪重负并崩溃,因此称为“拒绝服务”。 通过执行攻击并使设备崩溃,网络犯罪分子拒绝向其他希望使用该设备的人提供该设备的服务。

最常见的动机归因于DDoS攻击(来源:Carbon60 Networks)

作为一个例子,在 十月2016,一个巨大的DDoS目标Dyn一家控制着互联网域名系统(DNS)基础设施的公司,在美国和欧洲大部分地区引发了大规模的互联网中断。 包括Twitter,卫报,Netflix和CNN在内的主要网站在一段时间内无法使用。

虽然这很重要,但也应该指出,网络犯罪分子也针对个人网站。 在早些时候,这将是一个令人担忧的主要问题,但幸运的是,现在有一些选项可以帮助个人保护他们的网站。

DDoS攻击的类型

来源:DigitalAttackMap

网络犯罪分子使用四种常见的DDoS策略来尝试删除网站。 所有这些都是暴力攻击 - 它们大量涌入。

  1. TCP连接攻击 尝试占用您网站的所有可用连接。 这包括为您的站点提供服务的所有物理设备,例如路由器,防火墙和应用程序服务器。 物理设备的连接总是有限的。
  2. 容量攻击 使用数据充斥您网站的网络。 这可以通过克服服务器本身,甚至通过占用所有可用带宽进入服务器来实现。 把它想象成洪水或交通拥堵,没有任何东西可以移动。
  3. 碎片攻击 将多个数据包的一些部分发送到您的服务器。 这样,您的服务器将一直忙于尝试重新组装它们而无法处理其他任何事情。
  4. 应用程序攻击 特别针对您拥有的一个方面或服务。 这些更危险,因为目标有限,你可能没有意识到你受到攻击直到出现问题。

DDoS保护

如果您是小企业主,并担心您的网站受到攻击,那么您是理所当然的。 任何形式的攻击都是危险的,不是说DDoS,并且有可能不仅造成财务损失,还会造成品牌损害。

有很多选项可供您保护自己,所以让我们来看看一些基础知识:

  1. 使用代理保护 - 代理是一种缓冲,可以保护您的网站免受互联网的攻击,有点像围栏。 这提供了额外的保护层,可以提前警告即将发生的攻击。 它还隐藏了您的真实IP地址,尽管所有这些对您的合法网站访问者都是不可见的。
  2. 防范欺骗性IP地址 - 网络犯罪分子喜欢通过劫持他人自己使用来隐藏真实的IP地址。 通过保持访问控制列表(ACL)阻止来自某些IP地址的访问,可以防止许多流行地址。
  3. 有模式带宽 - 虽然带宽很昂贵,但如今许多主机都提供可以帮助您的可扩展计划。 DDoS通过尝试克服可用带宽来工作,因此通过保持更多的缓冲区,您也可以获得提前攻击警告。

在大多数情况下,许多这些选项都是由您的Web主机提供的。 今天的Web主机提供了许多安全措施,只需为自己选择合适的主机即可。

看看WSHR吧 全面的webhost列表 我们不断审查和维护。

选择专业选项来防范DDoS

来源: Incapsula

除了您的网络主机,还有许多专业安全公司提供专门的服务,以帮助防止网络攻击。 在您犹豫不决之前,请记住,这已不再是大型跨国公司的时代,即使是中小型企业也能负担得起价格。

Akamai的

Akamai的 是当今网络安全领域最大的名字之一。 它有助于在数十亿台设备上每年为95 exabytes数据提供服务。 在其众多产品中,Akamai几乎涵盖了所有级别的安全需求,从功能强大的Kona Site Defender到更基本的Web应用程序保护服务。

Incapsula

Incapsula 还提供全面的保护计划,可根据您的要求进行定制。 作为主要兴趣点,您可能希望了解其核心DDoS保护服务,这些服务旨在保护您的网站,基础架构甚至名称服务器。

Arbor Networks

Arbor Networks 有一个大规模的一体化DDoS预防方案,它称之为主动威胁级别分析系统(ATLAS)。 这是全球DDoS威胁的早期预警系统,Arbor坚持与其各种威胁管理系统协同工作。

威瑞信

虽然作为安全证书的发行者更为人所知, 威瑞信 今天已扩展其产品以包括其他Web服务。 但是,它仍然不存在,Verisign DDoS保护服务主要用作预警系统,而不是保护系统。

CloudFlare的

CloudFlare的 是一个主要的名称,并成为内容分发网络(CDN)的名声。 令人高兴的是,CDN是帮助减轻DDoS攻击并利用云交付系统的主要方式之一。 如今,Cloudflare已经扩展了其服务范围,涵盖了从CDN到DNS的所有内容。 保护服务是可扩展的,因此您只需为您选择使用的内容付费。

在成功故事中获得安慰

案例#1:KrebsOnSecurity.com攻击

在此 KrebsOnSecurity.com 攻击 - 虽然网络攻击的风险是不变的,但是有比失败更多的成功故事。 从企业到个人,网络攻击可能会被挫败,而这些可能有助于恢复您对安全的信心。

在2016晚期,调查安全记者Brian Krebs的个人博客,KrebsOnSecurity.com, 是大规模DDoS攻击的目标.

这次攻击引人注目是因为有两个主要因素:

  1. 这是对个人(虽然值得注意的)博客的攻击,并且
  2. 根据Akamai的说法,它几乎是他们之前遇到的任何攻击的两倍。 在袭击发生后,它被发现是互联网有史以来最大的攻击之一。

从袭击中发现了一些有趣的发现。 首先,尽管它的大小,它是一种纯粹的暴力攻击,不依赖放大或网络犯罪分子可用的任何其他工具。 该规模还表明,与安全专家熟悉的相比,可用于发布DDoS的僵尸网络要大得多。

尽管如此,通过选择合适的安全合作伙伴,即使是小型企业也可以像Brian Krebs那样成功地保护自己的网站。

Case #2:对俄罗斯银行的大规模罢工

对俄罗斯银行的大规模罢工s - 在2016晚期,还有五家主要的俄罗斯银行,其中包括国有的Sberbank, 是持续DDoS攻击的目标。 在过去的几天里,他们的银行被连接到Mirai僵尸网络的设备的请求所淹没。

根据卡巴斯基实验室的说法,最长的攻击时间为12小时,并以每秒660,000的请求达到峰值。 这来自于24,000国家/地区的30黑客攻击设备。 值得庆幸的是,银行保持安全,运营仍在继续。

包起来…

与技术的各个方面一样,新的网络攻击方法一直在发明,甚至更老的方法也在不断更新和升级。 事实上,根据Akamai的报告,DDoS攻击的强度大大增加,在2016期间攻击大小翻了一番。

DDoS攻击的业务成本 - 信息图表 Incapsula。 点击图片放大。

事实上,在 思科2017年中网​​络安全报告 发现了威胁的快速演变,并预测了潜在的“破坏服务”(DeOS)攻击。 这些可以消除组织的备份和安全网,这是在攻击后恢复系统和数据所必需的。

Akamai和Cloudflare等公司近20年来一直为安全威胁辩护,并保护客户并保持基础架构可用性,即使在遭受当时最大的DDoS攻击时也是如此。

从个人的角度来看,我非常支持企业专注于他们的核心载体,并将其他领域(例如安全性)留在那些“业务”的人手中。 很多公司都不理会 多年来专家的安全警告 在遭受巨大损失之前 - 不要那个公司.

关于Timothy Shim

Timothy Shim是一位作家,编辑和技术爱好者。 从信息技术领域开始他的职业生涯,他迅速进入印刷领域,并与国际,地区和国内媒体合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的专长在于消费者和企业的技术领域。