在过去的二十年里，分布式拒绝服务(DDoS) 攻击一直是网络威胁领域的一个重要特征。在2021和DDoS攻击威胁形势报告显示，今天的袭击不断的复杂性，体积，大小和频率不断变化。DDoS 攻击中唯一不变的是攻击者持续关注目标组织的关键基础设施。每月 DDoS 攻击的数量正在增加——攻击增加了四倍，自 2020 年以来，攻击的数量和数据包也分别增加了两倍和三倍。

随着使用传输控制协议(TCP) 的组织比以往任何时候都多，攻击者清楚地知道防御不足或没有防御的站点很容易成为目标。不使用永远在线防御的组织很容易受到较短的攻击，因为攻击者有机会在缓解措施开始之前制造最大的破坏。当攻击者采用这种“冲洗和重复”方法时，组织更难缓解和管理攻击。

在这篇文章中，我们将解释 DDoS 攻击缓解过程，并提供您的解决方案提供商今天必须提供的十种能力，以管理DDoS 攻击的规模和复杂性。

“ DDoS 缓解”是指成功保护目标免受分布式拒绝服务 (DDoS) 攻击的过程。典型的缓解过程可以大致分为四个阶段：

检测——早期识别可能是“煤矿中的金丝雀”的流量异常，表明 DDoS 攻击的积累。组织可以通过识别攻击的一致性和早期识别度来衡量其检测有效性。此阶段的最终目标是立即识别攻击。
转移——当检测到攻击时，组织通过DNS（域名系统）或BGP将站点流量重新路由远离目标（边界网关协议）路由。然后，决定是过滤流量还是完全丢弃流量。DNS路由是永远在线的，因此可以快速响应攻击，对应用层和网络层的攻击都有效。BGP 路由要么永远在线，要么按需。
过滤——DDoS 流量被淘汰，通常是通过识别能够立即区分合法流量（即人类、API 调用和搜索引擎机器人）和恶意访问者的模式。响应能力是您能够在不影响用户体验的情况下阻止攻击的功能。目的是让您的解决方案对网站访问者完全透明。
分析— 系统日志和分析可以帮助组织收集有关攻击的信息，以识别攻击者并提高未来的弹性。日志记录是一种传统方法，它可以提供洞察力，但不是实时的。日志记录通常需要详细的手动分析。高级安全分析技术通常是自动化的，可以提供对攻击流量的精细可见性和对攻击细节的即时了解。

DDoS 解决方案所需的 10 项能力

既然我们已经确定了要做什么，那么在选择缓解提供商来做这件事时，您必须考虑哪些因素？

网络容量——这是对 DDoS 缓解服务进行基准测试的基本方法。它反映了攻击期间您可用的整体可扩展性。例如，一个 1 Tbps（每秒太比特）的网络理论上可以阻止多达相同量的攻击流量，减去维持其正常运行所需的带宽。小心使用本地 DDoS 缓解设备，因为它们在默认情况下受到限制——无论是组织网络管道的大小还是内部硬件容量。

处理能力——这个功能用转发率来表示，以 Mpps（每秒百万个数据包）为单位。Imperva 最近挫败了记录为 155 Mpps 的攻击，一些攻击可以编组高达 300 Mpps 的转发率。超出缓解提供商处理能力的攻击将推翻其防御，这就是为什么您应该提前询问此类限制的原因。

延迟——在某些时候，到您的网站或应用程序的合法流量将通过 DDoS 提供商的网络：如果 DDoS 服务是按需提供的，则在发生攻击时流量会切换到 DDoS 提供商。如果 DDoS 服务始终开启（具有显着优势），您的所有流量都将通过提供商的服务器。您的数据中心和您的 DDoS 提供商之间的连接必须非常高效，否则可能会导致您的用户出现高延迟。

缓解时间——大多数攻击可以在几分钟内摧毁一个目标，而恢复过程可能需要几个小时。Imperva 研究显示出攻击时间更短、攻击量更大的趋势。使用永远在线解决方案的抢先检测在这里提供了优势。近乎即时的缓解可保护组织免受任何攻击期间的第一次齐射。寻找可以在几秒钟内响应攻击的解决方案，并确保在服务试用期间对其进行测试。

网络层面的缓解——网络层 DDoS 攻击是大规模的——它们依赖于非常大规模的流量，这可能会对您的基础设施造成更大的损害。DDoS 缓解提供商必须将合法流量与恶意流量分开，并在允许合法数据包到达目的地的同时摆脱恶意数据包。

应用层缓解——应用层（OSI 第 7 层）DDoS 攻击比其网络层对应攻击要隐蔽得多，通常模仿合法用户流量来规避安全措施。为了阻止它们，您的解决方案应该能够分析传入的 HTTP/S 流量，区分 DDoS 机器人和合法访问者。

二级资产保护——在 DDoS 攻击场景中，网络基础设施（如 Web 服务器、DNS 服务器、电子邮件服务器、FTP 服务器和后台 CRM 或 ERP 平台）可能成为犯罪者的目标。评估您的整个网络基础设施风险并确定需要保护的组件的优先级。您的 DNS 服务是最常见的攻击目标之一，也是您的单点故障，因此请确保您的解决方案能够保护它。

保护单个 IP —历史上，基于云的 DDoS 保护服务只能保护整个 IP 范围，而不是单个 IP 地址。今天，高级 DDoS 服务可以保护单个 IP，允许您注册公共 IP 或域名，将 DDoS 服务添加到您的 DNS 配置中，并立即保护该特定 IP。

支持——即使您的 DDoS 服务是完全自动化的，这是首选，因为它可以快速响应攻击，但请确保您的提供商提供专业的支持服务。当攻击发生时，您可能需要与您的提供商交谈以了解正在发生的事情并解决影响您的合法流量的关键问题。确保您的 DDoS 缓解服务运营一个安全运营中心 (SOC)，安全专家全天候 24x7x365 全天候提供紧急援助。

选择专家——专注于安全的供应商提供更先进的解决方案——专家致力于持续的安全研究和对新攻击向量的全天候监控。ISP 和托管服务提供商等通才提供基本缓解解决方案作为其核心服务的“附加组件”，目的是向现有客户追加销售。通才提供的缓解服务可能足以应对小型、简单的攻击。但是，如果您的在线应用程序对日常业务运营至关重要，那么专业的 DDoS 保护提供商是您组织的最佳和最低风险选择。