为博客和小型企业网站寻找最佳 DDOS 保护

为博客和小型企业网站寻找最佳 DDOS 保护


人们谈论互联网快速扩张的时代早已过去,今天我们面临着许多新的数字元素需要考虑。 仅物联网一项就可能为地球上最大的网络增加数十亿台新设备。

如此大规模的扩张为网络犯罪分子、个人和组织提供了平等的机会,他们通过互联网利用设备谋取私利。 这些可以采取病毒、特洛伊木马、勒索软件等形式。

这些网络犯罪分子触手可及的还有更强大的资源,其中之一就是分布式拒绝服务 (DDoS)。 事实上,如今这个问题更加普遍,网络犯罪分子以低至 150 美元的价格出售 DDoS 攻击服务。

如今,不仅仅是经验丰富的高科技网络犯罪团队可以成为 Ransom DDoS 攻击者。 任何甚至不具备组织全面 DDoS 攻击的技术知识或技能的欺诈者都可以购买演示性攻击以进行勒索,”卡巴斯基实验室卡巴斯基 DDoS 保护负责人 Kirill Ilganaev 说(来源)。

DDoS 基本上是一种蛮力攻击,这意味着它是同时从多个其他设备对一个设备的攻击。

它的工作原理是尝试与目标建立如此多的连接并用信息淹没它,使其不堪重负并崩溃,因此称为“拒绝服务”。 通过实施攻击并使设备崩溃,网络犯罪分子拒绝向希望使用它的其他人提供该设备的服务。

归因于 DDoS 攻击的最常见动机(来源:Carbon60 Networks)

例如,2016 年 10 月,针对 Dyn(一家控制大部分互联网域名系统 (DNS) 基础设施的公司)的大规模 DDoS 导致美国和欧洲大部分地区的互联网大规模中断。 包括 Twitter、卫报、Netflix 和 CNN 在内的主要网站在一段时间内无法使用。

虽然这很重要,但还应该指出的是,网络犯罪分子也以个人网站为目标。 在早期,这将是一个主要的关注点,但幸运的是,现在有一些选项可以帮助个人保护他们的网站。

DDoS 攻击的类型

DDoS 统计
每天观察到超过 2,000 次 DDoS。

网络犯罪分子使用四种常见的 DDoS 策略来尝试关闭网站。 所有这些都是蛮力攻击 – 它们大量压倒。

1. TCP 连接攻击

TCP 连接攻击试图占用您站点的所有可用连接。 这包括为您的站点提供服务的所有物理设备,例如路由器、防火墙和应用程序服务器。 物理设备的连接总是有限的。

2. 体积攻击

容量攻击会用数据淹没您网站的网络。 这可以通过克服您的服务器本身,甚至通过占用所有可用带宽进入您的服务器来实现。 把它想象成洪水或交通堵塞,什么都不能移动。

3. 碎片攻击

碎片攻击将多个数据包的零碎发送到您的服务器。 这样,您的服务器将一直忙于尝试重新组装它们而无法处理其他任何事情。

4. 应用程序攻击

应用程序攻击专门针对您拥有的一个方面或服务。 这些更危险,因为目标有限,您可能不会意识到自己受到了攻击,直到出现问题。

DDoS 防护

如果您是小企业主,并且担心您的网站受到攻击,那么您是理所当然的。 任何形式的攻击都是危险的,更不用说 DDoS,并且有可能不仅给您造成经济损失,还给您造成品牌损失。

有很多选项可供您保护自己,所以让我们来看看一些基础知识:

  1. 使用代理保护 – 代理是一个缓冲区,可以保护您的网站免受 Internet 的影响,有点像栅栏。 这提供了额外的保护层,可能会为您提前警告即将到来的攻击。 它还隐藏了您的真实 IP 地址,尽管所有这些对您的合法网站访问者都是不可见的。
  2. 防范欺骗性 IP 地址 – 网络犯罪分子喜欢通过劫持他人为自己使用来隐藏他们的真实 IP 地址。 通过保留访问控制列表 (ACL) 以阻止来自某些 IP 地址的访问,可以防止许多流行的地址。
  3. 有模式带宽 – 尽管带宽很昂贵,但今天的许多主机都提供了可扩展的计划,可能会帮助您。 DDoS 通过尝试克服可用带宽来工作,因此通过保留更多的缓冲区,您也可以提前获得攻击警告。

在大多数情况下,其中许多选项由您的虚拟主机提供。 今天的网络主机提供了许多保护措施,这只是为自己选择合适的主机的问题。

看看我们不断审查和维护的 WSHR 的商业网络托管综合列表。

选择专业的选项来防御 DDoS

除了您的网络主机之外,还有许多专业的安全公司提供专门的服务来帮助防止网络攻击。 在您犹豫之前,请记住,这不再是大型跨国公司的时代,即使是中小型企业也可以负担得起价格。

1.阿卡迈

Akamai 是当今网络安全领域的知名企业之一。 它每年有助于为数十亿台设备提供超过 95 EB 的数据。 在其众多产品中,Akamai 几乎可以满足所有级别的安全需求,从其强大的 Kona Site Defender 到更基本的 Web 应用程序保护服务。

2. 胶囊

Incapsula 还提供全面的保护计划,可根据您的要求进行定制。 作为主要兴趣点,您可能想看看他们的核心 DDoS 保护服务,这些服务旨在保护您的网站、基础设施甚至名称服务器。

3.乔木网络

Arbor Networks 有一个大规模的一体化 DDoS 预防方案,它称之为主动威胁级别分析系统 (ATLAS)。 这是一个全球 DDoS 威胁预警系统,Arbor 维护它与各种威胁管理系统协同工作。

4.威瑞信

虽然作为安全证书颁发者而广为人知,但威瑞信今天已将其产品扩展到包括其他 Web 服务。 但是,它还没有完全实现,而且威瑞信 DDoS 保护服务主要充当预警系统,而不是保护系统。

5. Cloudflare

Cloudflare 是一个主要名称,并以内容分发网络 (CDN) 闻名。 令人高兴的是,CDN 是帮助缓解 DDoS 攻击并利用云交付系统的主要方法之一。 如今,Cloudflare 已经扩展了其服务范围,涵盖了从 CDN 到 DNS 的所有内容。 保护服务具有可扩展性,因此您只需为选择使用的内容付费。

成功的故事 在阻止网络攻击

案例 #1:KrebsOnSecurity.com 攻击

KrebsOnSecurity.com 攻击 – 尽管网络攻击的风险始终存在,但成功案例远多于失败案例。 从企业到个人,网络攻击都可以被挫败,这里有一些可能有助于恢复您对安全的信心。

2016 年底,调查安全记者 Brian Krebs 的个人博客 KrebsOnSecurity.com 成为大规模 DDoS 攻击的目标。

这次攻击之所以引人注目,是因为有两个主要因素:

  1. 这是对个人(尽管值得注意)博客的攻击,并且
  2. 根据 Akamai 的说法,这几乎是他们之前遇到的任何攻击的两倍。 在这次攻击之后,人们发现它是互联网所目睹的最大攻击之一。

这次袭击带来了一些有趣的发现。 首先,尽管规模很大,但它是一种纯粹的蛮力攻击,不依赖于放大或网络犯罪分子可用的任何其他工具。 该规模还表明,可用于启动 DDoS 的僵尸网络比安全专家所熟悉的要大得多。

尽管如此,通过选择合适的安全合作伙伴,即使是小型企业也可以成功地保护他们的网站,就像 Brian Krebs 所做的那样。

案例二:针对俄罗斯银行的大规模罢工

对俄罗斯银行的大规模罢工s – 同样在 2016 年底,五家主要的俄罗斯银行,其中包括国有 Sberbank,成为持续 DDoS 攻击的目标。 在几天的时间里,他们的银行被来自 Mirai 僵尸网络所附设备的请求所淹没。

据卡巴斯基实验室称,最长的攻击时间为 12 小时,峰值为每秒 660,000 个请求。 这来自分布在 30 个国家/地区的 24,000 多台被黑设备。 值得庆幸的是,银行仍然安全,运营仍在继续。

最后的想法

与技术的各个方面一样,网络攻击的新方法一直在被发明,甚至更旧的方法也在不断更新和升级。 事实上,根据 Akamai 的一份报告,DDoS 攻击的强度大大增加,在 2016 年攻击规模翻了一番。

DDoS 攻击的业务成本 – Incapsula 提供的信息图。 点击图片放大。

事实上,思科 2017 年年中网络安全报告揭示了威胁的快速演变,并预测了潜在的“服务破坏”(DeOS)攻击。 这些可以消除组织的备份和安全网,在攻击后恢复系统和数据所需。

近二十年来,Akamai 和 Cloudflare 等公司一直在抵御安全威胁,保护客户并保持基础设施可用性,即使在抵御当时最大规模的 DDoS 攻击时也是如此。

从个人的角度来看,我非常支持企业专注于其核心载体,而将其他领域(例如安全性)留给那些从事其业务的人。 许多公司在遭受巨额损失之前,多年来一直忽视专家的安全警告—— 不要成为那家公司.

另请阅读——

Leave a Comment