预防 DDoS 攻击的五个步骤

DDoS攻击是一种安全威胁，其目的是破坏应用程序、网站、服务器和路由器等网络资源，从而给受害者造成重大损失。但是，可以通过实施安全最佳实践和提前准备来预防，例如强化网络、配置资源、部署强大的保护措施、提前规划和主动监控网络。

一、防范DDoS攻击

通用和分层网络安全防御的标准安全最佳实践可以对DDoS攻击提供合理的保护。然而，一些具体措施，如漏洞修补和IT强化，可以提供更好的保护。

1. 补丁和更新资源

所有资源都应修补并完全更新。为了有效防御 DDoS，修补和更新的优先级应放在最有价值的资源和互联网之间的设备上，例如防火墙、网关、网站和应用程序。IT 团队还应执行以下操作：

• 执行漏洞扫描:定期使用漏洞扫描工具来发现任何问题，例如缺少更新、补丁或配置错误。漏洞可能由被忽视的补丁和过时的软件引起。
• 实施补丁管理：创建一个流程，定期对您的设备和应用程序进行优先排序、测试和部署更新和补丁，以确保它们保持最新且没有错误或冲突。

2. 强化应用程序

可以通过更改网络、使用应用程序安全工具或渗透测试来探测漏洞、错误配置或编码疏忽来增强应用程序和网站的安全性。应特别注意可能导致各种 DDoS 攻击的攻击。

例如，添加验证码来验证网站上的人机交互可以防止攻击者使用机器人发送大量请求，这些请求可能会压垮并导致服务器崩溃。

3. 锁定IT基础设施

通过更改设置、调整配置、消除不必要的功能以及安装提供额外网络安全的可选功能，可以增强服务器、网关、防火墙、路由器和其他 IT 基础设施的防御攻击能力。

强化包括但不限于：

• 阻止网络端口：阻止服务器和防火墙上未使用的端口。
• 限制访问：限制某些协议只能在内部网络上的设备使用。
• 启用速率限制：设置或降低速率限制阈值，以便在另一台计算机无法回复或发出重复请求时丢弃数据包。
• 阻止半开连接：启用半开连接的超时。
• 设置防火墙规则：配置您的防火墙以检测并删除欺骗、格式不正确或格式错误的软件包。

例如，DNS 服务器可能成为攻击者的特定目标，并且容易受到各种类型的攻击。如果组织不使用 DNS 服务器，则应阻止对端口 53 (DNS) 的 UDP 访问。

二、部署防DDoS架构

除了强化之外，IT 架构还可以设计为更具弹性和安全性，以抵御 DDoS 攻击。过度配置基础设施、备份系统、创建冗余、隐藏潜在 DDoS 目标并隔离易受攻击的设备的 IT 团队可以限制 DDoS 攻击的有效性并增强整体弹性。

• 超额配置基础设施：在构建网络和设备时，估算带宽，然后设计 200-500% 的基线需求。虽然这可能很昂贵，但额外的资源可以赢得时间应对 DDoS 攻击。
• 备份关键组件：冗余设备或备份设备是弹性架构所必需的，可用于在 DDoS 攻击后快速恢复系统。定期更新数据，并仅在攻击停止后才将其上线。
• 添加冗余：考虑冗余选项，例如将防火墙与路由器分开、将资源移动到云端以及在多个数据中心之间分配流量，以避免出现瓶颈或易受 DDoS 攻击的单点故障。
• 模糊目标：模糊性使攻击更加困难。通过阻止 ICMP 或 ping 请求并添加额外的安全层（如虚拟专用网络 (VPN)或安全 Web 网关 (SWG)）来隐藏 IP 地址，保护您的内部网络。
• 隔离资源：内容分发网络 (CDN) 或 Anycast 网络将资源发送到不同的位置和 IP 地址，从而降低 DDoS 攻击的有效性。您还可以利用网络分段和访问控制列表。

三、安装防DDoS工具

除了强化和设计之外，组织还可以根据其需求和预算获取工具、下载和安装补丁或启用专门防御 DDoS 攻击的功能。其中包括：

• 反 DDoS 功能：请咨询您的设备制造商，了解是否有任何针对 DDoS 的功能或补丁可以安装在服务器等设备上以防御攻击；例如 Apache 2.2.15 中的 mod_reqtimeout 模块可以防御 Slowloris 攻击。
• 路由器和网关：路由器和网关通常具有可启用以缓解 DoS 攻击的高级功能。网络管理员或安全团队可以在设备的管理控制台中找到这些功能并根据需要启用它们。
• 速率限制：可以在网络设备上配置响应速率限制器 (RRL) 来阻止各种 DDoS 攻击，例如阻止来自同一 IP 地址的多个相同请求或丢弃多个没有响应的 TCP 请求。

需要注意的是，强化安全性不应过度到破坏有用协议的功能的程度。例如，确保更新和补丁不会与网络上的其他系统发生冲突，或者不是阻止或丢弃来自所有来源的数据包，而是将 ICMP 限制在组织内部的允许列表IP 地址上，以启用该功能，同时阻止外部 DDoS 攻击。

1. 其他 DDoS 保护：防火墙、设备和服务

虽然有些防火墙可以单独阻止 DDoS 攻击，但其他防火墙则需要帮助。防火墙传统上构成了抵御外部攻击的初始防御，而现代防火墙可以阻止许多较旧且简单的 DDoS 攻击，例如 IP Null 攻击或 ACK Fragmentation Floods。但是，防火墙无法阻止伪装成正常流量（HTTP GET、HTTP POST 等）的攻击，并且可能会被容量耗尽攻击所淹没。

应采取额外保护措施来保护暴露或关键资源，例如暴露在互联网上的应用服务器或 DNS 服务器和服务。各种供应商都提供在防火墙或硬件中添加反 DDoS 功能的软件，专门用于防范 DDoS 攻击。

此外，组织可以与基于云的 DDoS 解决方案提供商（例如 Akamai、Cloudflare 和 Amazon Web Services）合作，提供企业全方位解决方案。

四、设计 DDoS 响应手册

在建立起经过强化和更新的 IT 基础设施并采用反 DDoS 架构和工具进行保护后，IT 和安全团队需要创建 DDoS 策略手册。如果发生 DDoS 攻击，正式文档可以协助响应团队。

应对计划可能包括：

• 致电对象：响应团队成员、适用供应商（如互联网服务和托管提供商）、专业事件响应和安全供应商、高管和法律顾问的联系信息。
• 基础设施信息：网络详细信息，例如 IP 地址、故障转移设备、网络地图等。
• 行动计划：发生 DDoS 攻击时应采取的步骤。

每年至少演练一次响应计划，并定期检查以确保剧本中的所有联系信息仍然准确。剧本中的某些元素甚至可能由某些反 DDoS 工具自动执行，因此可以实施额外的安全措施，以在人们做出反应之前更快地降低 DDoS 攻击的危险。

五、部署DDoS监控

有了坚固的基础设施和有效的剧本，IT 团队和安全团队就可以使用不同的监控工具来观察正在进行的 DDoS 攻击的迹象。以下是一些可用于监控资产的工具：

• 网络监控： 网络监控工具是跟踪端点、防火墙、路由器、交换机和服务器的行为、流量和健康状况的硬件或软件应用程序。
• 安全监控： 安全监控工具收集和分析网络和设备信息，以检测可疑行为并向 IT 和安全团队触发警报。

这些监控工具将建立“正常”流量基线，以便异常流量模式生成警报。团队越早发现正在发生的事件，就能越快解决攻击。

团队应选择适合资源的工具，并针对 DDoS 攻击的典型指标（例如带宽需求突然增加、流量异常增加或流量来源异常）设置警报。警报可以发送到安全事件和事件监控 (SEIM) 工具、安全运营中心 (SOC)、托管检测和响应 (MDR) 服务，甚至 DDoS 安全专家。

虽然自动响应可以缩短反应时间并自动阻止 DDoS 攻击，但应谨慎使用。误报可能会导致操作中断，因此安全团队仍需要评估警报。

1. 三种基本的 DDoS 防御策略：优点和缺点

在实施 DDoS 防御时，这些策略可以由 IT 团队手动执行，通过本地硬件或软件购买，或通过基于云或外部的工具和服务实施。虽然其中一些技术可以相互重叠或相互加强，但许多组织没有资源来应用多种解决方案，必须选择一种适合其需求的解决方案。这些选项中的每一个都有明显的优缺点。

2. DIY DDoS 防御的优缺点

自行部署防御措施肯定可以成功抵御 DDoS 攻击。这些防御措施通常包括手动部署开源软件、防火墙和服务器的设置。

例如，手动将 IP 地址添加到拒绝列表可能很容易，但通常会落后于不断移动和发展的攻击；特别是在面对数千个端点的僵尸网络时，手动 IP 拒绝列表变得难以承受。

3. 本地防御工具/服务的优缺点

组织可以购买专门用于防御 DDoS 攻击的设备和软件。这些工具可以部署在要保护的资源（防火墙、服务器等）前面，也可以安装在资源本身上。

以前面的例子来说，设备或本地防火墙应用程序可能根据供应商的经验预先加载了知名僵尸网络 IP 地址列表。此黑名单将比 DIY 列表更全面，但将成为更昂贵解决方案的一部分，并且需要定期更新。

4. 基于云的防御工具/服务的优缺点

基于云的 DDoS 保护工具为整个组织提供了更全面的安全保护。云托管工具通常被称为软件即服务 (SaaS)。如果可能的话，基于云的工具是三者中最好的选择。

使用 IP 拒绝列表示例，SaaS DDoS工具通常预先加载了知名恶意僵尸网络的 IP 地址，这些地址比 DIY 列表更全面，并且会由 SaaS 提供商不断更新。

5. 底线：DDoS 预防工具必不可少

DDoS 攻击者试图阻止合法用户访问资源。根据受影响的资源，拒绝访问可能只是令人讨厌，也可能使整个企业瘫痪。当 DDoS 攻击成功时，有效的规划可以快速恢复并限制损失。大型和小型组织都将从投入时间和资源来防范 DDoS 攻击和 IT 基础设施弹性中受益。