很多人对DDoS攻击的认知和理解,难免存在一些误区所以在防护DDoS攻击时也容易存在一些问题。网络上一些关于网络安全的新闻报道是大多数人的信息来源,但这些信息在内容质量上参差不齐,本文专门就企业在做网络安全防护时应该注意的一些事项进行分析,希望可以帮助大家。
一、网站被DDOS攻击与规模大小或企业知名度高低没有必然联系
现在的DDoS攻击,会针对许多不同类型的企业和网站发起。DDoS攻击,亦有可能是你的竞争对手策略性地发起的,例如:当你的网站进行促销活动时,被DDoS攻击的风险和潜在危害,将会更为突出。
令人担忧的是,DDoS攻击的最新研究显示,互联网上存在越来越多完全不分青红皂白、平白无故就发起攻击的现象和趋势。很多企业认为自己并没有什么知名度,只要不去惹事就不会被攻击者盯上,但其实规模小的网站,防护能力薄弱,更容易得手。所以,只要你的网站是可被攻击的,那么它就极有可能遭遇DDoS攻击。
二、DDoS攻击并不是全部来自于PC(个人电脑/个人计算机)组成的僵尸网络
很多人会以为DDoS攻击,全都是攻击者控制"PC(个人电脑/个人计算机)肉鸡""发起的攻击,这在以前的确是如此,但是现在黑客的目光,早已经由PC(个人电脑/个人计算机)转向"高性能服务器"以及数量众多、各种各样的"物联网设备”,这些服务器和智能设备都是可以用来发起攻击的。
三、DDoS攻击不都是消耗网络带宽资源的攻击
其实DDoS攻击,不全都是以消耗攻击目标的网络带宽资源的攻击,也有消耗服务器系统资源以及应用资源的攻击。比如,SYN Flood就是为了耗尽攻击目标系统的TCP连接表资源,同等攻击流量的SYN Flood会比UDP Flood,危害更大。
四、DDoS的云端清洗服务和本地缓解设备不可以可以相互替代
DDoS攻击属于多种攻击种类的统称,不同种类的攻击有不同的应对方法。一般而言,云端清洗服务擅长应对流量型DDoS攻击;而本地缓解设备则适合对抗系统资源消耗型和应用资源消耗型的DDoS攻击。用户应该根据自己的业务特点和主要威胁,选择合适自身的防护DDoS方案。
五、系统优化和增加带宽并不能有效缓解DDoS攻击
系统优化,主要是针对被攻击系统的核心参数进行调整,比如"增加TCP连接表的数量"或者是"建立连接超时时间′等,这对于小规模的攻击可以起到一定防护DDoS的作用;但是当遭遇大流量的DDoS攻击时,就完全没有任何作用了。增加带宽也是一样的,而且最终解决不了根本的问题,只能对小规模的DDoS攻击起到缓解作用,当攻击者成倍增大攻击规模和攻击流量时,其作用就显得微乎其微了。另外,增加带宽进行硬抗,对于大流量的DDoS攻击来说并不可取,原因是太烧钱了,一般的中小企业根本无法承受这样的高昂成本。
六、使用防火墙、IDS(入侵检测系统)/IPS(入侵防御系统)不能缓解DDoS攻击
防火墙是最常用的安全产品,但传统的防火墙是通过高强度的检测来进行防护的,主要部署在网络入口位置,虽然可以保护网络内部的所有资源,但是也成为了DDoS攻击的目标。
IDS(入侵检测系统)/IPS (入侵防御系统)属于应用最广泛的攻击检测与防护工具,但在面临DDoS攻击时,IDS(入侵检测系统)/IPS(入侵防御系统)通常也不能完全满足要求。IDS (入侵检测系统)/IPS (入侵防御系统)一般是基于特征规则的情况下,进行应用层攻击的检测。但目前的DDoS攻击,大部分是模拟正常的用户访问请求进行攻击的。因此防火墙和IDS (入侵检测系统)/IPS(入侵防御系统)在是否能够有效防护DDoS攻击的问题上,存在着性能问题。
可以这么说,防火墙只是防御策略的一部分,而不是一个完整的方案。想要更加全面有效地防御DDoS攻击,就绝不能仅仅依靠防火墙来解决,还需要结合其他技术和设备进行防御。
在网络世界,DDoS攻击的威胁无处不在,企业更应该重视防护DDoS攻击和网络安全。发起DDoS攻击的成本其实很低,技术难度并不高,如果不做好安全防护,很有可能就会遭遇攻击。DDoS攻击是当前最常见、最顽固的网络攻击方式的统称,具有"破坏性大、杀伤力强,防范难度较高,且无法彻底根除"等特点。迄今为止,全球范围内发生的恶意DDoS攻击事件不计其数,而因此蒙受损失和伤害的企业、个人、政府部门和组织机构,更是数不胜数!
本文来自:https://www.zhuanqq.com/News/Industry/247.html
