收！企业现代DDoS防护措施中的5项必备功能！|MyAsiaCloud

Myasiacloud亚洲云海将定期为各位更新行业最新资讯、科技新闻、相关产品知识以及技术分享，带您快速掌握云端产品的发展。

收！企业现代 DDoS 防护措施中的5项必备功能！

分布式拒绝服务(DDoS)攻击已经进入了1Tb级别的DDoS攻击时代。然而，Radware研究显示，DDoS攻击不仅规模越来越大；也越来越复杂。黑客们不断提出新的可以绕过传统DDoS防护措施的创新方法，损害企业的服务可用性。

为了确保能够防御最新和最强大的DDoS攻击，企业必须确定其安全提供商可以提供应对这些最新威胁的最佳工具和技术。

以下是企业现代DDoS防护措施中的5项必备功能：

必备功能1：应用层DDoS防护

应用层(L7) DDoS攻击已经超过网络层(L3/4)攻击，成为了最广泛的攻击矢量。据Radware 2017-2018年ERT报告称，64%的企业都面临着应用层攻击，相比之下，面临网络层攻击的企业仅为51%。

事实上，据ERT报告称，在所有攻击类型中(包括网络层和应用层)，HTTP洪水是排名第一的攻击矢量。此外，SSL、DNS和SMTP攻击也是常见的应用层攻击类型。这些趋势暗示了，现代DDoS防护已经不只是为了防御网络层DDoS攻击。为了让企业得到充分保护，现代DDoS防护措施必须包含可以防御应用层(L7)攻击的内置防御措施。

必备功能2：SSL DDoS洪水防护

目前，加密流量占了互联网流量的一大部分。根据Mozilla的Let’s Encrypt项目，全球70%以上的网站都是通过HTTPS传输的，这一比例在美国和德国等市场中更高。

由于越来越多的流量都是经过加密的，SSL DDoS洪水成为了黑客越来越常用的攻击矢量。据Radware最新的ERT报告称，过去一年间，30%的企业都声称遭受了基于SSL的攻击。

鉴于基于SSL的DDoS攻击的威力，对希望得到充分保护的企业而言，可以防御SSL DDoS洪水的高水平防护措施是必不可少的。

必备功能3：零日防护

攻击者在不断寻找新的方法，绕过传统的安全机制，并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改，黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击：

第一种常见的零日攻击就是脉冲式DDoS攻击，在切换到另一个攻击矢量之前，该攻击会利用高容量攻击的短时脉冲。这些攻击通常会结合许多不同的攻击矢量，依赖需要手动优化的传统安全解决方案的企业在面对这些打了就跑的战术时往往会陷入困境。

另一类零日攻击是放大攻击。放大攻击通常会采用请求和响应包大小严重不对称的通信协议。此类攻击会将流量从不参与攻击的第三方服务器上反射出来，放大攻击流量，进而击垮攻击目标。

必备功能4：行为防护

由于DDoS攻击变得越来越复杂，区分合法流量和恶意流量也随之变得越来越困难。对于可以模仿合法用户行为的应用层(L7) DDoS攻击而言尤为如此。基于流量阈值来检测攻击，并使用速率限制来限制流量峰值。然而，这是一种非常粗糙的攻击拦截方式，因为此方法无法区分合法流量和恶意流量。

然而，一种可以更有效检测并拦截攻击的方法就是采用了解什么是正常用户行为的行为分析技术，并拦截所有不符合这种行为的流量。这不仅可以提供更高水平的防护，而且可以实现更低的误报率，并且不会在流量高峰期拦截合法用户。

必备功能5：详尽的SLA

企业服务水平协议(SLA)是企业安全提供商承诺为其提供的保障。毫不夸张的说，企业安全完全取决于企业的SLA。许多安全厂商都大肆宣扬自己的能力，但一旦到了要做出实际承诺的时候，他们的宣扬就会化为泡影。为了确保企业能获得安全厂商宣传手册上描述的所有服务，企业需要告诉安全厂商要采取切实措施，并提供详细的SLA，其中包括对检测、缓解和可用性指标的具体承诺。

如果企业的安全提供商无法提供此类承诺，企业就应该对该厂商能否提供高质量的DDoS攻击防护产生怀疑。这也是细粒度SLA能成为现代DDoS防护措施中必备功能的原因。

最新资讯