如何有效防御DDoS攻击

1 DDoS攻击发展现状
据相关安全平台监测数据显示，分布式拒绝服务攻击（DDoS攻击）激增，数量、规模和复杂性都在增加。过去的DDoS攻击以Flood型攻击为主，更多的针对运营商的网络和基础架构。而当前的DDoS攻击越来越多的是针对具体应用和业务，例如：针对企业门户应用、在线购物、在线视频、在线游戏、DNS、E-mail等。攻击的目标更加广泛，攻击行为更为复杂和仿真。如何有效防御DDoS攻击已成为企业网络安全关注的重点。

2 DDoS攻击防御机制
为了保护信息数据安全，企业在进行网络建设时一般会使用专业的安全防护设备，例如路由器、网关、防火墙等，并将其部署在企业网络的出入口，对所有出入的数据包进行过滤，检查边界安全规则，确保输出的数据流受到正确限制。以防火墙产品为例，网络部署如下图所示。
图2-1    安全防护产品网络部署示意图

为有效识别正常数据流和攻击数据流，数据流经过安全防护产品时一般会经过攻击检测和攻击防范是两个至关重要的阶段。通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并根据配置对具有攻击特征的报文执行相应的防御措施。安全防护设备中常用的攻击检查和攻击防范特性包括：
●    异常检测：统计模型和机器学习算法（例如神经网络，决策树和近邻算法）可用于分析网络流量，并将流量模式分类为正常或DDoS攻击，还可检测网络性能因素中的异常，例如设备CPU利用率或带宽使用情况。
●    基于知识的方法：使用诸如特征码分析、状态转换分析、专家系统、描述脚本和自组织映射等方法，可以通过将流量与已知攻击的特定模式进行比较来检测DDoS。
●    ACL和防火墙规则：除了入口/出口流量过滤之外，访问控制列表（ACL）和防火墙规则可用于增强流量可见性。通过分析ACL日志，可以判断通过网络运行的流量类型；根据特定的规则、签名和模式配置应用防火墙策略来阻止可疑的传入流量。
●    入侵防御系统和入侵检测系统：入侵防御系统（IPS）和入侵检测系统（IDS）提供了额外的流量可见性。IPS和IDS识别的报警可以作为异常和潜在恶意流量的早期指示。
根据DDoS攻击的特点及产生的影响，通常将其大致分为单包攻击、扫描攻击、泛洪攻击。系统在进行攻击防御时也会分阶段处理，先检测是否为单包攻击，再检测是否为扫描攻击和泛洪攻击。针对不同的攻击类型，攻击检测及防御措施有所不同：

除了安全防护设备的使用，以下措施也可以有效降低攻击发生：
●    安装最新的安全补丁
由于大多数攻击针对特定的软件或硬件漏洞，且攻击特点不断更新，因此及时安装最新的补丁也可以有效降低攻击风险。
●    禁用未使用的服务
黑客攻击的应用程序和服务越少越好。确保禁用所有不需要和未使用的服务和应用程序，以提高网络的安全性。

3 总结
虽然DDoS攻击的目标更加广泛，攻击行为更为复杂和仿真，DDoS攻击防不胜防，但人工智能、机器学习等智能化的方法逐渐应用到攻击防御技术中，分布式集群防御、高防智能DNS解析、高防云服务等技术相继出现，使得DDoS防御变成一项系统工程，可以更加专业化、精准化地守护网络安全。
此外，企业网络管理人员的网络攻击基本知识和防护意识也不断提高，网络安全意识与技术手段的结合，更好地发挥网络防护的效能，使网络更健壮、更安全。

相关链接

什么是DDoS攻击

你不可忽视的园区网ARP安全防护