大部分的治理方法需要在DDoS攻击产生之前就配置,并且需要世界领域内的网络运营商、网络公司和高防服务器运营商进行有效合作,才干达到较好的反抗效果。然而,对于世界上许多中小型的企业和组织来说,他们并没有能力进行大领域的网络治理和僵尸网络打击举动,却比大型公司和组织更可能遭遇DDoS攻击。对于这些中小型企业和组织来说,难道只能处于被动挨打的地位吗?
事实上,在DDoS攻击已经产生的情况下,可以通过一些缓解技巧来减少攻击对自身业务和服务的影响,从而在必定程度上保障业务正常运DDoS缓解技巧有时也称为DDoS防护技巧,但是“缓解”更能体现这种技巧的本质,这是因为通常它并不能彻底铲除DDoS攻击对于目标的影响,而只能最大限度地减小。近年来,随着DDoS攻防研究不断深入人们对于DDoS缓解的认识也在不断演进。
误区:系统优化和増加带宽能够有效缓解DDoS攻击
系统优化重要是指对被攻击系统的核心参数进行调剂,例如増加TCP连接表的数量,降低TCP建立连接的超时时间等。对于小规模的DDoS攻击,系统优化的方法的确具有必定程度的缓解作用。但当攻击者成倍地增大DDoS攻击的规模和攻击流量时,这些系统优化的作用就显得微乎其微了。
増加带宽实际上属于一种让步策略,这种让步策略还包含购置冗余硬件、増添性能更好的服务器等。只要攻击者的DDoS攻击造成资源耗费不高于目前的带宽、盘算等资源的承載能力,那么攻击就是无效的;而一旦DDoS攻击的资源耗费超出了目前的承能力,则通过再次让步来使其无效化。増加带宽等让步策略从理论上讲的确能够完整解决DDo攻击的问题,然而在实际上这种方法并不符合经济规律。事实上攻击者増大DDoS攻击规模的成本并不高,而采用让步策路缓解DDoS攻击则需要不断增长带宽、服务器等基础设施的投入,这些投入不可能无穷制增长,因此让步策路也不是缓解DDoS攻击的有效方法。
误区:防火墙和入侵检测/防御系统能够缓解DDoS攻击
防火墙是最常用的安全产品,但是防火墙的设计原理中并没有考虑针对DDoS攻击的缓解。传统的防火墙是以高强度的检查作为代价来进行防护的,检查的强度越高,盘算的代价越大。而DDo5攻击中的海量流暈会造成防火墙性能急剧降落,不能有效地完成包转发的任务。同时,传统防火墙一般都安排在网络入口地位,虽然这在某种意义上掩护了网络内部的
所有资源,但是往往也成为DDoS攻击的目标。
入侵检测/防御系统是利用最广泛的攻击检测/防护工具,但在面临DDo5攻击时,入侵检测/防御系统通常也不能满足请求。入侵检测/防御系统一般是基于规矩进行利用层攻击的检测,在其设计之初就是作为一种基于特点的利用层攻击检测设备。但是目前的DDoS攻击大部分采用基于合法数据包的攻击流量,因此入侵检测/防御系统无法对DDo5攻击进行基于特点的有效检测。同时,入侵检測/防御系统也面临着和防火墙同样的性能问题。
缓解DDoS攻击的重要方法是对网络流量进行清洗,即设法将恶意的网络流量从全部流量中去掉,只将正常的网络流量交付该服务器。然而随着散布式拒绝服务攻击的流量不断増大,单一的流量清洗设备和流量清洗中心已经无法处理如此大规模的网络流量了,因此,面对当今的DDoS攻击时,在进行流量清洗前还需要进行流量稀释。
