隨着互聯網網絡的不斷髮展,在給人們帶來各種便利的同時,DDoS功擊的規模也越來越大,現在已經進入了 Tbps的DDoS功擊時代。DDoS功擊不僅規模越來越大,功擊方式也越來越複雜,很多傳統的DDOS防護措施已無法應對日益進化的功擊手段。爲了確保企業能完全應對各種全新的DDOS功擊,企業必須加強和升級DDOS防禦措施,今天墨者安全就來說說2019年面對全新的DDoS功擊企業需做好哪些防護措施?
1、應用層DDoS防護
應用層(L7) DDoS功擊已經超過網絡層(L3/4)功擊,成爲了最廣泛的功擊矢量。根據相關數據統計,64%的企業都面臨着應用層功擊,相比之下,面臨網絡層功擊的企業僅爲51%。而在所有的功擊類型中,HTTP洪水功擊排名第一。此外,SSL、DNS和SMTP功擊也是常見的應用層功擊類型。這些趨勢暗示了,現代DDoS防護已經不只是爲了防禦網絡層DDoS功擊。爲了讓企業得到充分保護,現代DDoS防護措施必須包含可以防禦應用層(L7)功擊的內置防禦措施。
2、SSL DDoS洪水防護
目前,加密流量佔了互聯網流量的一大部分。全球70%以上的網站都是通過HTTPS傳輸的,這一比例在美國和德國等市場中更高。然而,這種增長也帶來了重大的安全挑戰:與常規請求相比,加密請求可能需要高達15倍以上的服務器資源。這就意味着,複雜的功擊者即使利用少量流量也可以擊垮一個網站。由於越來越多的流量都是經過加密的,SSL DDoS洪水成爲了功擊越來越常用的功擊矢量。鑑於基於SSL的DDoS功擊的威力,對希望得到充分保護的企業而言,可以防禦SSL DDoS洪水的高水平防護措施是必不可少的。
3、零日防護
功擊者在不斷尋找新的方法,繞過傳統的安全機制,並利用前所未見的功擊方法功擊企業。即使對功擊特徵碼做一些微小修改,功擊也能創造出手動特徵碼無法識別的功擊。這類功擊通常被稱爲“零日”功擊。最常見的零日功擊有脈衝式DDoS功擊和放大式功擊,據相關數據統計,42%的企業都遭受了脈衝式功擊,40%的企業聲稱遭受了放大DDoS功擊。這些趨勢說明了零日功擊防護功能在現代DDoS防護機制中的必要性。
4、行爲防護
由於DDoS功擊變得越來越複雜,區分合法流量和惡意流量也隨之變得越來越困難。許多安全廠商採用的常見機制就是基於流量閾值來檢測功擊,並使用速率限制來限制流量峯值。然而,這是一種非常粗糙的功擊攔截方式,因爲這種防禦手段很難區分真實流量和功擊流量。特別是在流量高峯期間,速率限制等單一的防護機制無法區分合法流量和功擊流量,最終會攔截合法用戶。因此,採用了基於行爲分析的檢測(和緩解)的DDoS防護措施確實是有效的DDoS防護中的必備功能。