為博客和小型企業網站找到最佳的DDOS保護

文章撰寫者:Timothy Shim
  • Web工具
  • 更新:Sep 02,2020

人們談論互聯網迅速擴張的日子已經過去很久了,今天我們面臨著許多新的數字元素需要考慮。 僅物聯網將為地球上最大的網絡增加數十億新設備。

隨著這種大規模的擴張,網絡犯罪分子,人和組織通過互聯網利用設備獲取個人利益的機會相等。 這些可以採用病毒,特洛伊木馬,勒索軟件等形式。

這些網絡犯罪分子還有更強大的資源,其中之一就是分佈式拒絕服務(DDoS)。 事實上,現在這個問題更加普遍,網絡犯罪分子以低至美元150的價格銷售DDoS攻擊服務。

如今,不僅僅是經驗豐富的高科技網絡犯罪團隊可以成為贖金DDoS攻擊者。 任何甚至沒有技術知識或技能來組織全面DDoS攻擊的欺詐者都可以購買示威性攻擊,以敲詐勒索,“卡巴斯基實驗室卡巴斯基DDoS保護主管Kirill Ilganaev說道。來源).

DDoS基本上是一種暴力攻擊,這意味著它同時是對來自多個其他設備的設備的攻擊。

它的工作原理是嘗試與目標形成如此多的連接,並使其充滿信息,使其不堪重負並崩潰,因此稱為“拒絕服務”。 通過執行攻擊並使設備崩潰,網絡犯罪分子拒絕向其他希望使用該設備的人提供該設備的服務。

最常見的動機歸因於DDoS攻擊(來源:Carbon60 Networks)

作為一個例子,在 十月2016,一個巨大的DDoS目標Dyn一家控制著互聯網域名系統(DNS)基礎設施的公司,在美國和歐洲大部分地區引發了大規模的互聯網中斷。 包括Twitter,衛報,Netflix和CNN在內的主要網站在一段時間內無法使用。

雖然這很重要,但也應該指出,網絡犯罪分子也針對個人網站。 在早些時候,這將是一個令人擔憂的主要問題,但幸運的是,現在有一些選項可以幫助個人保護他們的網站。

DDoS攻擊的類型

來源:DigitalAttackMap

網絡犯罪分子使用四種常見的DDoS策略來嘗試刪除網站。 所有這些都是暴力攻擊 - 它們大量湧入。

  1. TCP連接攻擊 嘗試佔用您網站的所有可用連接。 這包括為您的站點提供服務的所有物理設備,例如路由器,防火牆和應用程序服務器。 物理設備的連接總是有限的。
  2. 容量攻擊 使用數據充斥您網站的網絡。 這可以通過克服服務器本身,甚至通過佔用所有可用帶寬進入服務器來實現。 把它想像成洪水或交通擁堵,沒有任何東西可以移動。
  3. 碎片攻擊 將多個數據包的一些部分發送到您的服務器。 這樣,您的服務器將一直忙於嘗試重新組裝它們而無法處理其他任何事情。
  4. 應用程序攻擊 特別針對您擁有的一個方面或服務。 這些更危險,因為目標有限,你可能沒有意識到你受到攻擊直到出現問題。

DDoS保護

如果您是小型企業主,並且擔心您的網站受到攻擊,那是正確的。 任何形式的攻擊都是危險的,更不用說DDoS了,它不僅可能造成經濟損失,還可能造成品牌損害。

有很多選項可供您保護自己,所以讓我們來看看一些基礎知識:

  1. 使用代理保護 - 代理是一種緩衝,可以保護您的網站免受互聯網的攻擊,有點像圍欄。 這提供了額外的保護層,可以提前警告即將發生的攻擊。 它還隱藏了您的真實IP地址,儘管所有這些對您的合法網站訪問者都是不可見的。
  2. 防範欺騙性IP地址 - 網絡犯罪分子喜歡通過劫持他人自己使用來隱藏真實的IP地址。 通過保持訪問控制列表(ACL)阻止來自某些IP地址的訪問,可以防止許多流行地址。
  3. 有模式帶寬 –儘管帶寬價格昂貴,但是當今許多主機都提供了可擴展的計劃,可能會對您有所幫助。 DDoS通過嘗試克服可用帶寬來發揮作用,因此,通過保留更多的緩衝區,您也可能會獲得高級攻擊警告。

在大多數情況下,許多這些選項都是由您的Web主機提供的。 今天的Web主機提供了許多安全措施,只需為自己選擇合適的主機即可。

看看WSHR吧 虛擬主機的完整列表 我們不斷審查和維護。


選擇專業選項來防範DDoS

資源: Incapsula

除了您的網絡主機,還有許多專業安全公司提供專門的服務,以幫助防止網絡攻擊。 在您猶豫不決之前,請記住,這已不再是大型跨國公司的時代,即使是中小型企業也能負擔得起價格。

1. Akamai

Akamai的 是當今網絡安全領域最大的名字之一。 它有助於在數十億台設備上每年為95 exabytes數據提供服務。 在其眾多產品中,Akamai幾乎涵蓋了所有級別的安全需求,從功能強大的Kona Site Defender到更基本的Web應用程序保護服務。

2。 Incapsula

Incapsula 還提供全面的保護計劃,可根據您的要求進行定制。 作為主要興趣點,您可能希望了解其核心DDoS保護服務,這些服務旨在保護您的網站,基礎架構甚至名稱服務器。

3.喬木網絡

Arbor Networks 有一個大規模的一體化DDoS預防方案,它稱之為主動威脅級別分析系統(ATLAS)。 這是全球DDoS威脅的早期預警系統,Arbor堅持與其各種威脅管理系統協同工作。

4.威瑞信

雖然作為安全證書的發行者更為人所知, 威瑞信 今天已擴展其產品以包括其他Web服務。 但是,它仍然不存在,Verisign DDoS保護服務主要用作預警系統,而不是保護系統。

5。 CloudFlare的

的CloudFlare 是一個主要名稱,並以內容分發網絡(CDN)聞名。 令人高興的是,CDN是幫助緩解DDoS攻擊並利用雲交付系統的主要方法之一。 今天, Cloudflare擴展了服務 涵蓋從CDN到DNS的所有內容。 保護服務具有可擴展性,因此您只需為選擇使用的內容付費。


在成功故事中獲得安慰

案例#1:KrebsOnSecurity.com攻擊

KrebsOnSecurity.com 攻擊 –儘管網絡攻擊的風險是恆定的,但成功的案例要多於失敗的案例。 從企業到個人,網絡攻擊都可以被挫敗,這裡有些可以幫助您恢復對安全性的信念。

在2016晚期,調查安全記者Brian Krebs的個人博客,KrebsOnSecurity.com, 是大規模DDoS攻擊的目標.

這次攻擊引人注目是因為有兩個主要因素:

  1. 這是對個人(雖然值得注意的)博客的攻擊,並且
  2. 根據Akamai的說法,它幾乎是他們之前遇到的任何攻擊的兩倍。 在襲擊發生後,它被發現是互聯網有史以來最大的攻擊之一。

從襲擊中發現了一些有趣的發現。 首先,儘管它的大小,它是一種純粹的暴力攻擊,不依賴放大或網絡犯罪分子可用的任何其他工具。 該規模還表明,與安全專家熟悉的相比,可用於發布DDoS的殭屍網絡要大得多。

儘管如此,通過選擇合適的安全合作夥伴,即使是小型企業也可以像Brian Krebs那樣成功地保護自己的網站。

案例2:針對俄羅斯銀行的大規模罷工

對俄羅斯銀行的大規模罷工s - 在2016晚期,還有五家主要的俄羅斯銀行,其中包括國有的Sberbank, 是持續DDoS攻擊的目標。 在過去的幾天裡,他們的銀行被連接到Mirai殭屍網絡的設備的請求所淹沒。

根據卡巴斯基實驗室的說法,最長的攻擊時間為12小時,並以每秒660,000的請求達到峰值。 這來自於24,000國家/地區的30黑客攻擊設備。 值得慶幸的是,銀行保持安全,運營仍在繼續。


包起來…

與技術的各個方面一樣,新的網絡攻擊方法一直在發明,甚至更老的方法也在不斷更新和升級。 事實上,根據Akamai的報告,DDoS攻擊的強度大大增加,在2016期間攻擊大小翻了一番。

DDoS攻擊的業務成本– Infographic by Incapsula。 點擊圖片放大。

事實上, 思科2017年中網絡安全報告 發現了威脅的快速演變,並預測了潛在的“破壞服務”(DeOS)攻擊。 這些可以消除組織的備份和安全網,這是在攻擊後恢復系統和數據所必需的。

Akamai和Cloudflare等公司近20年來一直為安全威脅辯護,並保護客戶並保持基礎架構可用性,即使在遭受當時最大的DDoS攻擊時也是如此。

從個人的角度來看,我非常支持企業專注於他們的核心載體,並將其他領域(例如安全性)留在那些“業務”的人手中。 很多公司都不理會 多年來專家的安全警告 在遭受巨大損失之前 - 不要那個公司.

關於Timothy Shim

Timothy Shim是一位作家,編輯和技術愛好者。 從信息技術領域開始他的職業生涯,他迅速進入印刷領域,並與國際,地區和國內媒體合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的專長在於消費者和企業的技術領域。