随着互联网网络的不断发展,在给人们带来各种便利的同时,DDoS攻击的规模也越来越大,现在已经进入了 Tbps的DDoS攻击时代。DDoS攻击不仅规模越来越大,攻击方式也越来越复杂,很多传统的DDOS防护措施已无法应对日益进化的攻击手段。为了确保企业能完全应对各种全新的DDOS攻击,企业必须加强和升级DDoS防御措施,今天墨者安全就来说说2019年面对全新的DDoS攻击企业需做好哪些防护措施?
应用层(L7) DDoS攻击已经超过网络层(L3/4)攻击,成为了最广泛的攻击矢量。根据相关数据统计,64%的企业都面临着应用层攻击,相比之下,面临网络层攻击的企业仅为51%。而在所有的攻击类型中,HTTP洪水攻击排名第一。此外,SSL、DNS和SMTP攻击也是常见的应用层攻击类型。这些趋势暗示了,现代DDoS防护已经不只是为了防御网络层DDoS攻击。为了让企业得到充分保护,现代DDoS防护措施必须包含可以防御应用层(L7)攻击的内置防御措施。
目前,加密流量占了互联网流量的一大部分。全球70%以上的网站都是通过HTTPS传输的,这一比例在美国和德国等市场中更高。然而,这种增长也带来了重大的安全挑战:与常规请求相比,加密请求可能需要高达15倍以上的服务器资源。这就意味着,复杂的攻击者即使利用少量流量也可以击垮一个网站。由于越来越多的流量都是经过加密的,SSL DDoS洪水成为了黑客越来越常用的攻击矢量。鉴于基于SSL的DDoS攻击的威力,对希望得到充分保护的企业而言,可以防御SSL DDoS洪水的高水平防护措施是必不可少的。
攻击者在不断寻找新的方法,绕过传统的安全机制,并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改,黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击。最常见的零日攻击有脉冲式DDoS攻击和放大式攻击,据相关数据统计,42%的企业都遭受了脉冲式攻击,40%的企业声称遭受了放大DDoS攻击。这些趋势说明了零日攻击防护功能在现代DDoS防护机制中的必要性。
由于DDoS攻击变得越来越复杂,区分合法流量和恶意流量也随之变得越来越困难。许多安全厂商采用的常见机制就是基于流量阈值来检测攻击,并使用速率限制来限制流量峰值。然而,这是一种非常粗糙的攻击拦截方式,因为这种防御手段很难区分真实流量和攻击流量。特别是在流量高峰期间,速率限制等单一的防护机制无法区分合法流量和攻击流量,最终会拦截合法用户。因此,采用了基于行为分析的检测(和缓解)的DDoS防护措施确实是有效的DDoS防护中的必备功能。
-->