為博客和小型企業網站尋找最佳的DDOS保護

文章撰寫者:
  • Web工具
  • 更新:Nov 02,2018

人們談論互聯網迅速擴張的日子已經過去很久了,今天我們面臨著許多新的數字元素需要考慮。 僅物聯網將為地球上最大的網絡增加數十億新設備。

隨著這種大規模的擴張,網絡犯罪分子,人和組織通過互聯網利用設備獲取個人利益的機會相等。 這些可以採用病毒,特洛伊木馬,勒索軟件等形式。

這些網絡犯罪分子還有更強大的資源,其中之一就是分佈式拒絕服務(DDoS)。 事實上,現在這個問題更加普遍,網絡犯罪分子以低至美元150的價格銷售DDoS攻擊服務。

如今,不僅僅是經驗豐富的高科技網絡犯罪團隊可以成為贖金DDoS攻擊者。 任何甚至沒有技術知識或技能來組織全面DDoS攻擊的欺詐者都可以為勒索目的購買示威攻擊,“卡巴斯基實驗室卡巴斯基DDoS保護主管Kirill Ilganaev說道。來源).

DDoS基本上是一種暴力攻擊,這意味著它同時是對來自多個其他設備的設備的攻擊。

它的工作原理是嘗試與目標形成如此多的連接,並使其充滿信息,使其不堪重負並崩潰,因此稱為“拒絕服務”。 通過執行攻擊並使設備崩潰,網絡犯罪分子拒絕向其他希望使用該設備的人提供該設備的服務。

最常見的動機歸因於DDoS攻擊(來源:Carbon60 Networks)

作為一個例子,在 十月2016,一個巨大的DDoS目標Dyn一家控制著互聯網域名系統(DNS)基礎設施的公司,在美國和歐洲大部分地區引發了大規模的互聯網中斷。 包括Twitter,衛報,Netflix和CNN在內的主要網站在一段時間內無法使用。

雖然這很重要,但也應該指出,網絡犯罪分子也針對個人網站。 在早些時候,這將是一個令人擔憂的主要問題,但幸運的是,現在有一些選項可以幫助個人保護他們的網站。

DDoS攻擊的類型

來源:DigitalAttackMap

網絡犯罪分子使用四種常見的DDoS策略來嘗試刪除網站。 所有這些都是暴力攻擊 - 它們大量湧入。

  1. TCP連接攻擊 嘗試佔用您網站的所有可用連接。 這包括為您的站點提供服務的所有物理設備,例如路由器,防火牆和應用程序服務器。 物理設備的連接總是有限的。
  2. 容量攻擊 使用數據充斥您網站的網絡。 這可以通過克服服務器本身,甚至通過佔用所有可用帶寬進入服務器來實現。 把它想像成洪水或交通擁堵,沒有任何東西可以移動。
  3. 碎片攻擊 將多個數據包的一些部分發送到您的服務器。 這樣,您的服務器將一直忙於嘗試重新組裝它們而無法處理其他任何事情。
  4. 應用程序攻擊 特別針對您擁有的一個方面或服務。 這些更危險,因為目標有限,你可能沒有意識到你受到攻擊直到出現問題。

DDoS保護

如果您是小企業主,並擔心您的網站受到攻擊,那麼您是理所當然的。 任何形式的攻擊都是危險的,不是說DDoS,並且有可能不僅造成財務損失,還會造成品牌損害。

有很多選項可供您保護自己,所以讓我們來看看一些基礎知識:

  1. 使用代理保護 - 代理是一種緩衝,可以保護您的網站免受互聯網的攻擊,有點像圍欄。 這提供了額外的保護層,可以提前警告即將發生的攻擊。 它還隱藏了您的真實IP地址,儘管所有這些對您的合法網站訪問者都是不可見的。
  2. 防範欺騙性IP地址 - 網絡犯罪分子喜歡通過劫持他人自己使用來隱藏真實的IP地址。 通過保持訪問控制列表(ACL)阻止來自某些IP地址的訪問,可以防止許多流行地址。
  3. 有模式帶寬 - 雖然帶寬很昂貴,但如今許多主機都提供可以幫助您的可擴展計劃。 DDoS通過嘗試克服可用帶寬來工作,因此通過保持更多的緩衝區,您也可以獲得提前攻擊警告。

在大多數情況下,許多這些選項都是由您的Web主機提供的。 今天的Web主機提供了許多安全措施,只需為自己選擇合適的主機即可。

看看WSHR吧 全面的webhost列表 我們不斷審查和維護。

選擇專業選項來防範DDoS

資源: Incapsula

除了您的網絡主機,還有許多專業安全公司提供專門的服務,以幫助防止網絡攻擊。 在您猶豫不決之前,請記住,這已不再是大型跨國公司的時代,即使是中小型企業也能負擔得起價格。

Akamai的

Akamai的 是當今網絡安全領域最大的名字之一。 它有助於在數十億台設備上每年為95 exabytes數據提供服務。 在其眾多產品中,Akamai幾乎涵蓋了所有級別的安全需求,從功能強大的Kona Site Defender到更基本的Web應用程序保護服務。

Incapsula

Incapsula 還提供全面的保護計劃,可根據您的要求進行定制。 作為主要興趣點,您可能希望了解其核心DDoS保護服務,這些服務旨在保護您的網站,基礎架構甚至名稱服務器。

Arbor Networks

Arbor Networks 有一個大規模的一體化DDoS預防方案,它稱之為主動威脅級別分析系統(ATLAS)。 這是全球DDoS威脅的早期預警系統,Arbor堅持與其各種威脅管理系統協同工作。

威瑞信

雖然作為安全證書的發行者更為人所知, 威瑞信 今天已擴展其產品以包括其他Web服務。 但是,它仍然不存在,Verisign DDoS保護服務主要用作預警系統,而不是保護系統。

的CloudFlare

的CloudFlare 是一個主要的名稱,並成為內容分發網絡(CDN)的名聲。 令人高興的是,CDN是幫助減輕DDoS攻擊並利用雲交付系統的主要方式之一。 如今,Cloudflare已經擴展了其服務範圍,涵蓋了從CDN到DNS的所有內容。 保護服務是可擴展的,因此您只需為您選擇使用的內容付費。

在成功故事中獲得安慰

案例#1:KrebsOnSecurity.com攻擊

KrebsOnSecurity.com 攻擊 - 雖然網絡攻擊的風險是不變的,但是有比失敗更多的成功故事。 從企業到個人,網絡攻擊可能會被挫敗,而這些可能有助於恢復您對安全的信心。

在2016晚期,調查安全記者Brian Krebs的個人博客,KrebsOnSecurity.com, 是大規模DDoS攻擊的目標.

這次攻擊引人注目是因為有兩個主要因素:

  1. 這是對個人(雖然值得注意的)博客的攻擊,並且
  2. 根據Akamai的說法,它幾乎是他們之前遇到的任何攻擊的兩倍。 在襲擊發生後,它被發現是互聯網有史以來最大的攻擊之一。

從襲擊中發現了一些有趣的發現。 首先,儘管它的大小,它是一種純粹的暴力攻擊,不依賴放大或網絡犯罪分子可用的任何其他工具。 該規模還表明,與安全專家熟悉的相比,可用於發布DDoS的殭屍網絡要大得多。

儘管如此,通過選擇合適的安全合作夥伴,即使是小型企業也可以像Brian Krebs那樣成功地保護自己的網站。

Case #2:對俄羅斯銀行的大規模罷工

對俄羅斯銀行的大規模罷工s - 在2016晚期,還有五家主要的俄羅斯銀行,其中包括國有的Sberbank, 是持續DDoS攻擊的目標。 在過去的幾天裡,他們的銀行被連接到Mirai殭屍網絡的設備的請求所淹沒。

根據卡巴斯基實驗室的說法,最長的攻擊時間為12小時,並以每秒660,000的請求達到峰值。 這來自於24,000國家/地區的30黑客攻擊設備。 值得慶幸的是,銀行保持安全,運營仍在繼續。

包起來…

與技術的各個方面一樣,新的網絡攻擊方法一直在發明,甚至更老的方法也在不斷更新和升級。 事實上,根據Akamai的報告,DDoS攻擊的強度大大增加,在2016期間攻擊大小翻了一番。

DDoS攻擊的業務成本 - 信息圖表 Incapsula。 點擊圖片放大。

事實上, 思科2017年中網絡安全報告 發現了威脅的快速演變,並預測了潛在的“破壞服務”(DeOS)攻擊。 這些可以消除組織的備份和安全網,這是在攻擊後恢復系統和數據所必需的。

Akamai和Cloudflare等公司近20年來一直為安全威脅辯護,並保護客戶並保持基礎架構可用性,即使在遭受當時最大的DDoS攻擊時也是如此。

從個人的角度來看,我非常支持企業專注於他們的核心載體,並將其他領域(例如安全性)留在那些“業務”的人手中。 很多公司都不理會 多年來專家的安全警告 在遭受巨大損失之前 - 不要那個公司.

Timothy Shim的文章

Timothy Shim是一位作家,編輯和技術愛好者。 從信息技術領域開始他的職業生涯,他迅速進入印刷領域,並與國際,地區和國內媒體合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的專長在於消費者和企業的技術領域。

連接: