帮助与文档

您的位置  :  

防DDOS攻击不能全指望机房的黑洞防火墙

文字出处:未知  |  作者:admin  |  发布时间:2020-06-24 11:07
DoS攻击  试图通过大量看似合法的请求导致服务器瘫痪/防火墙。
 
传统防火墙很难有效地阻止DDoS攻击,通常它们本身已成为请求的瓶颈,并使攻击变得更糟而不是减轻它。传统防火墙的某些弱点可以通过简单地调整网络拓扑来缓解。例如,根据最近的市场研究(Computerworld),当传统的防火墙和入侵防御系统(IPS)部署在服务器前时,DDoS攻击通常会加剧这些攻击。

 
但是,即使是最佳的防火墙部署和配置,也无法消除DDoS损害,尤其是在应用程序层攻击情形下。
 
Web应用程序防火墙可以智能地清除不良请求,是防止DDoS攻击的有效且经济的选择。通常部署在云中的Web应用程序防火墙通过发送cookie或其他响应来响应可疑的应用程序请求-在允许用户访问系统之前,确保用户真实且请求有效。

防DDoS硬件解决方案

DDoS硬件是潜在攻击者与网络之间的物理层。尽管DDoS硬件可以抵御某些类型的攻击,但其他类型的攻击(如DNS攻击)完全不受硬件的影响,因为在其前面进行的损坏非常好。
 
通常,硬件保护是一项昂贵的提议。除了硬件本身的资本支出外,维护,安置和运行设备还需要大量熟练的人力。设备折旧,更不用说升级等经常性费用,也降低了硬件的投资回报率。
 
反DDoS托管
减轻DDoS攻击风险的一种常用方法是与支持DDoS的托管服务提供商签约,后者已经拥有在发生DDoS攻击时吸收不良流量所必需的昂贵设备。但是,Anti-DDoS的功能有限,并且比传统主机托管的成本高得多。
 
在Anti-DDoS托管生态圈内,网站所有者通常可以使用两种选择-租用和专用的Anti-DDoS托管解决方案。专用的托管选项往往非常昂贵,并且不灵活/不可扩展。而租用既昂贵又受托管提供商的总容量和托管计划的特定容量的限制。
 
但是,租用或专用的Anti-DDoS托管都不能提供智能的应用程序层DDoS缓解措施。此外,Anti-DDoS托管比其他选项的成本效益要低,因为吸收DDoS流​​量是有代价的,并且没有适当的基于智能行为/签名的标识,您将全额支付此费用。在典型的Anti-DDoS托管方案中,网站所有者会持续支付用于吸收潜在攻击的带宽-即使没有正在进行的此类攻击。更具成本效益,灵活,智能和主动的选择将确定攻击并进行扩展以应对按需挑战。