随着互联网网络的不断发展,在给人们带来各种便利的同时,DDoS功击的规模也越来越大,现在已经进入了 Tbps的DDoS功击时代。DDoS功击不仅规模越来越大,功击方式也越来越复杂,很多传统的DDOS防护措施已无法应对日益进化的功击手段。为了确保企业能完全应对各种全新的DDOS功击,企业必须加强和升级DDOS防御措施,今天墨者安全就来说说2019年面对全新的DDoS功击企业需做好哪些防护措施?

QQ截图20190213163854.jpg

1、应用层DDoS防护

应用层(L7) DDoS功击已经超过网络层(L3/4)功击,成为了最广泛的功击矢量。根据相关数据统计,64%的企业都面临着应用层功击,相比之下,面临网络层功击的企业仅为51%。而在所有的功击类型中,HTTP洪水功击排名第一。此外,SSL、DNS和SMTP功击也是常见的应用层功击类型。这些趋势暗示了,现代DDoS防护已经不只是为了防御网络层DDoS功击。为了让企业得到充分保护,现代DDoS防护措施必须包含可以防御应用层(L7)功击的内置防御措施。


2、SSL DDoS洪水防护

目前,加密流量占了互联网流量的一大部分。全球70%以上的网站都是通过HTTPS传输的,这一比例在美国和德国等市场中更高。然而,这种增长也带来了重大的安全挑战:与常规请求相比,加密请求可能需要高达15倍以上的服务器资源。这就意味着,复杂的功击者即使利用少量流量也可以击垮一个网站。由于越来越多的流量都是经过加密的,SSL DDoS洪水成为了功击越来越常用的功击矢量。鉴于基于SSL的DDoS功击的威力,对希望得到充分保护的企业而言,可以防御SSL DDoS洪水的高水平防护措施是必不可少的。


3、零日防护

功击者在不断寻找新的方法,绕过传统的安全机制,并利用前所未见的功击方法功击企业。即使对功击特征码做一些微小修改,功击也能创造出手动特征码无法识别的功击。这类功击通常被称为“零日”功击。最常见的零日功击有脉冲式DDoS功击和放大式功击,据相关数据统计,42%的企业都遭受了脉冲式功击,40%的企业声称遭受了放大DDoS功击。这些趋势说明了零日功击防护功能在现代DDoS防护机制中的必要性。


4、行为防护

由于DDoS功击变得越来越复杂,区分合法流量和恶意流量也随之变得越来越困难。许多安全厂商采用的常见机制就是基于流量阈值来检测功击,并使用速率限制来限制流量峰值。然而,这是一种非常粗糙的功击拦截方式,因为这种防御手段很难区分真实流量和功击流量。特别是在流量高峰期间,速率限制等单一的防护机制无法区分合法流量和功击流量,最终会拦截合法用户。因此,采用了基于行为分析的检测(和缓解)的DDoS防护措施确实是有效的DDoS防护中的必备功能。