DDoS攻擊是一種安全威脅，其目的是破壞應用程序、網站、服務器和路由器等網絡資源，從而給受害者造成重大損失。但是，可以通過實施安全最佳實踐和提前準備來預防，例如強化網絡、配置資源、部署強大的保護措施、提前規劃和主動監控網絡。

1. 防范DDoS攻擊

通用和分層網絡安全防御的標準安全最佳實踐可以對DDoS攻擊提供合理的保護。然而，一些具體措施，如漏洞修補和IT強化，可以提供更好的保護。

補丁和更新資源

所有資源都應修補并完全更新。為了有效防御 DDoS，修補和更新的優先級應放在最有價值的資源和互聯網之間的設備上，例如防火墻、網關、網站和應用程序。IT 團隊還應執行以下操作：

• 執行漏洞掃描:定期使用漏洞掃描工具來發現任何問題，例如缺少更新、補丁或配置錯誤。漏洞可能由被忽視的補丁和過時的軟件引起。
• 實施補丁管理：創建一個流程，定期對您的設備和應用程序進行優先排序、測試和部署更新和補丁，以確保它們保持最新且沒有錯誤或沖突。

強化應用程序

可以通過更改網絡、使用應用程序安全工具或滲透測試來探測漏洞、錯誤配置或編碼疏忽來增強應用程序和網站的安全性。應特別注意可能導致各種 DDoS 攻擊的攻擊。

例如，添加驗證碼來驗證網站上的人機交互可以防止攻擊者使用機器人發送大量請求，這些請求可能會壓垮并導致服務器崩潰。

鎖定IT基礎設施

通過更改設置、調整配置、消除不必要的功能以及安裝提供額外網絡安全的可選功能，可以增強服務器、網關、防火墻、路由器和其他 IT 基礎設施的防御攻擊能力。

強化包括但不限于：

• 阻止網絡端口：阻止服務器和防火墻上未使用的端口。
• 限制訪問：限制某些協議只能在內部網絡上的設備使用。
• 啟用速率限制：設置或降低速率限制閾值，以便在另一臺計算機無法回復或發出重復請求時丟棄數據包。
• 阻止半開連接：啟用半開連接的超時。
• 設置防火墻規則：配置您的防火墻以檢測并刪除欺騙、格式不正確或格式錯誤的軟件包。

例如，DNS 服務器可能成為攻擊者的特定目標，并且容易受到各種類型的攻擊。如果組織不使用 DNS 服務器，則應阻止對端口 53 (DNS) 的 UDP 訪問。

2.部署防DDoS架構

除了強化之外，IT 架構還可以設計為更具彈性和安全性，以抵御 DDoS 攻擊。過度配置基礎設施、備份系統、創建冗余、隱藏潛在 DDoS 目標并隔離易受攻擊的設備的 IT 團隊可以限制 DDoS 攻擊的有效性并增強整體彈性。

• 超額配置基礎設施：在構建網絡和設備時，估算帶寬，然后設計 200-500% 的基線需求。雖然這可能很昂貴，但額外的資源可以贏得時間應對 DDoS 攻擊。
• 備份關鍵組件：冗余設備或備份設備是彈性架構所必需的，可用于在 DDoS 攻擊后快速恢復系統。定期更新數據，并僅在攻擊停止后才將其上線。
• 添加冗余：考慮冗余選項，例如將防火墻與路由器分開、將資源移動到云端以及在多個數據中心之間分配流量，以避免出現瓶頸或易受 DDoS 攻擊的單點故障。
• 模糊目標：模糊性使攻擊更加困難。通過阻止 ICMP 或 ping 請求并添加額外的安全層（如虛擬專用網絡 (VPN)或安全 Web 網關 (SWG)）來隱藏 IP 地址，保護您的內部網絡。
• 隔離資源：內容分發網絡 (CDN) 或 Anycast 網絡將資源發送到不同的位置和 IP 地址，從而降低 DDoS 攻擊的有效性。您還可以利用網絡分段和訪問控制列表。

3.安裝防DDoS工具

除了強化和設計之外，組織還可以根據其需求和預算獲取工具、下載和安裝補丁或啟用專門防御 DDoS 攻擊的功能。其中包括：

• 反 DDoS 功能：請咨詢您的設備制造商，了解是否有任何針對 DDoS 的功能或補丁可以安裝在服務器等設備上以防御攻擊；例如 Apache 2.2.15 中的 mod_reqtimeout 模塊可以防御 Slowloris 攻擊。
• 路由器和網關：路由器和網關通常具有可啟用以緩解 DoS 攻擊的高級功能。網絡管理員或安全團隊可以在設備的管理控制臺中找到這些功能并根據需要啟用它們。
• 速率限制：可以在網絡設備上配置響應速率限制器 (RRL) 來阻止各種 DDoS 攻擊，例如阻止來自同一 IP 地址的多個相同請求或丟棄多個沒有響應的 TCP 請求。

需要注意的是，強化安全性不應過度到破壞有用協議的功能的程度。例如，確保更新和補丁不會與網絡上的其他系統發生沖突，或者不是阻止或丟棄來自所有來源的數據包，而是將 ICMP 限制在組織內部的允許列表IP 地址上，以啟用該功能，同時阻止外部 DDoS 攻擊。

其他 DDoS 保護：防火墻、設備和服務

雖然有些防火墻可以單獨阻止 DDoS 攻擊，但其他防火墻則需要幫助。防火墻傳統上構成了抵御外部攻擊的初始防御，而現代防火墻可以阻止許多較舊且簡單的 DDoS 攻擊，例如 IP Null 攻擊或 ACK Fragmentation Floods。但是，防火墻無法阻止偽裝成正常流量（HTTP GET、HTTP POST 等）的攻擊，并且可能會被容量耗盡攻擊所淹沒。

應采取額外保護措施來保護暴露或關鍵資源，例如暴露在互聯網上的應用服務器或 DNS 服務器和服務。各種供應商都提供在防火墻或硬件中添加反 DDoS 功能的軟件，專門用于防范 DDoS 攻擊。

此外，組織可以與基于云的 DDoS 解決方案提供商（例如 Akamai、Cloudflare 和 Amazon Web Services）合作，提供企業全方位解決方案。

4. 設計 DDoS 響應手冊

在建立起經過強化和更新的 IT 基礎設施并采用反 DDoS 架構和工具進行保護后，IT 和安全團隊需要創建 DDoS 策略手冊。如果發生 DDoS 攻擊，正式文檔可以協助響應團隊。

應對計劃可能包括：

• 致電對象：響應團隊成員、適用供應商（如互聯網服務和托管提供商）、專業事件響應和安全供應商、高管和法律顧問的聯系信息。
• 基礎設施信息：網絡詳細信息，例如 IP 地址、故障轉移設備、網絡地圖等。
• 行動計劃：發生 DDoS 攻擊時應采取的步驟。

每年至少演練一次響應計劃，并定期檢查以確保劇本中的所有聯系信息仍然準確。劇本中的某些元素甚至可能由某些反 DDoS 工具自動執行，因此可以實施額外的安全措施，以在人們做出反應之前更快地降低 DDoS 攻擊的危險。

5.部署DDoS監控

有了堅固的基礎設施和有效的劇本，IT 團隊和安全團隊就可以使用不同的監控工具來觀察正在進行的 DDoS 攻擊的跡象。以下是一些可用于監控資產的工具：

• 網絡監控： 網絡監控工具是跟蹤端點、防火墻、路由器、交換機和服務器的行為、流量和健康狀況的硬件或軟件應用程序。
• 安全監控： 安全監控工具收集和分析網絡和設備信息，以檢測可疑行為并向 IT 和安全團隊觸發警報。

這些監控工具將建立“正?！绷髁炕€，以便異常流量模式生成警報。團隊越早發現正在發生的事件，就能越快解決攻擊。

團隊應選擇適合資源的工具，并針對 DDoS 攻擊的典型指標（例如帶寬需求突然增加、流量異常增加或流量來源異常）設置警報。警報可以發送到安全事件和事件監控 (SEIM) 工具、安全運營中心 (SOC)、托管檢測和響應 (MDR) 服務，甚至 DDoS 安全專家。

雖然自動響應可以縮短反應時間并自動阻止 DDoS 攻擊，但應謹慎使用。誤報可能會導致操作中斷，因此安全團隊仍需要評估警報。

三種基本的 DDoS 防御策略：優點和缺點

在實施 DDoS 防御時，這些策略可以由 IT 團隊手動執行，通過本地硬件或軟件購買，或通過基于云或外部的工具和服務實施。雖然其中一些技術可以相互重疊或相互加強，但許多組織沒有資源來應用多種解決方案，必須選擇一種適合其需求的解決方案。這些選項中的每一個都有明顯的優缺點。

DIY DDoS 防御的優缺點

自行部署防御措施肯定可以成功抵御 DDoS 攻擊。這些防御措施通常包括手動部署開源軟件、防火墻和服務器的設置。

例如，手動將 IP 地址添加到拒絕列表可能很容易，但通常會落后于不斷移動和發展的攻擊；特別是在面對數千個端點的僵尸網絡時，手動 IP 拒絕列表變得難以承受。

本地防御工具/服務的優缺點

組織可以購買專門用于防御 DDoS 攻擊的設備和軟件。這些工具可以部署在要保護的資源（防火墻、服務器等）前面，也可以安裝在資源本身上。

以前面的例子來說，設備或本地防火墻應用程序可能根據供應商的經驗預先加載了知名僵尸網絡 IP 地址列表。此黑名單將比 DIY 列表更全面，但將成為更昂貴解決方案的一部分，并且需要定期更新。

基于云的防御工具/服務的優缺點

基于云的 DDoS 保護工具為整個組織提供了更全面的安全保護。云托管工具通常被稱為軟件即服務 (SaaS)。如果可能的話，基于云的工具是三者中最好的選擇。

使用 IP 拒絕列表示例，SaaS DDoS工具通常預先加載了知名惡意僵尸網絡的 IP 地址，這些地址比 DIY 列表更全面，并且會由 SaaS 提供商不斷更新。

底線：DDoS 預防工具必不可少

DDoS 攻擊者試圖阻止合法用戶訪問資源。根據受影響的資源，拒絕訪問可能只是令人討厭，也可能使整個企業癱瘓。當 DDoS 攻擊成功時，有效的規劃可以快速恢復并限制損失。大型和小型組織都將從投入時間和資源來防范 DDoS 攻擊和 IT 基礎設施彈性中受益。