互联网应用有几个特点,最典型的是高交互和受众广。高交互意味着有大量的服务暴露在互联网,以电商APP为例,包含搜索、收藏、交易、直播等服务,如果某个时间直播流量很大,难以判断是粉丝热情高涨还是被DDoS了,需要结合用户来源、下单和支付情况判断,因此针对单个服务的攻击很难被识别;受众广意味着业内影响力高,往往也树大招风,容易成为
DDoS攻击对象。应用是互联网企业的核心资产,直接创造营收和利润,如果遭遇攻击造成服务中断,无论经营还是品牌都会受到重创。对互联网应用而言,遭遇
DDoS攻击时,保障业务连续性是首要目标;其次是精准识别攻击类型并予以反制,来展示自身强大的防御能力,从而屏蔽一些低级别DDoS的骚扰。
创业公司一般比较看重投入产出,俗话讲“好钢用在刀刃上”,尤其在早期阶段,由于业务扩张规模的不确定性,通常采用轻资产模式,将基础设施托管或租赁云服务,从而把重心放在应用开发和业务迭代上,确保产品快速推向市场并保持优势。托管和云服务模式意味着面对DDoS攻击,自己能做的有限。对创业公司而言,在遭遇DDoS时,要在保障业务连续性、可操作性和所需成本之间找到最佳平衡点。
因此,我们从以下几个方面来回答这个问题。
1. 保障业务连续性
通过建设多机房、多云混合云的多活数据中心,将应用分散部署在各地,既能提高应用对各个区域的就近响应能力,也能提高应用的可用性,还能提高抗攻击能力,可谓一举多得。比如建设北上广三个数据中心(或租用各地云服务),利用F5智能DNS在三个数据中心之间动态分配流量,当某个数据中心遭遇DDoS造成业务中断,智能DNS可自动感知,将正常访问流量分配到其他可用的数据中心,攻击停止后,流量自动回切,全自动探测和调度,无需人工干预。
2. DDoS类型识别和反制
DDoS分为两类:网络层的DDoS和应用层DDoS。网络层DDoS是指利用TCP/IP协议族的一些特征,通过大量发包将带宽打满,快速消耗目标主机资源,造成网络堵塞和服务不可用,比如SYN flood、UDP flood、ICMP flood。这类攻击比较简单,用带DDoS FPGA芯片的硬件很容易识别和防护,云服务商也提供一定容量的网络DDoS防护能力。网络层DDoS由于收益小、易被识别和拦截,价值并不大,通常被用作应用层DDoS攻击前的伪装和掩护。
应用层DDoS是指攻击者通过代理服务器或者僵尸网络向攻击目标发送大量的高频合法请求, 同样达到快速消耗目标主机资源、造成网络堵塞和服务不可用的目的。常见的应用层DDoS攻击包括DNS flood、HTTP慢连接攻击、CC攻击。需要注意的是,这些请求都是合法的,因此很难被识别和过滤。
3. DDoS防护成本
DDoS是攻防双方财力的比拼,DDoS防护措施可以大幅提高攻击成本,但是发起攻击的成本仍然远低于防护成本。除此之外,在多云、混合云之间各种防护策略的管理成本也不可忽略。
因此,企业通常会采用本地部署DDoS防护、购买DDoS 清洗服务和混合云部署DDoS解决方案,构建“三位一体”的DDoS 防护体系,以保障业务连续性为目标,降低DDoS的影响。
关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDoS攻击防御。