针对企业系统的DDoS攻击防御方法

分布式拒绝服务（DDoS）攻击的目的在于耗尽网络、应用程序或服务的资源，导致用户无法获得访问权限。

DDoS攻击有多种不同的类型，但通常DDoS攻击是从多个不同主机同时发起的，甚至会影响最大企业的互联网服务和资源的可用性。

对于很多公司及组织而言，这种攻击简直是家常便饭; 根据第四份“全球基础设施安全报告”，42％的受访者每月能受到21次以上的DDoS攻击，相比2013年的数据增长了17%。

令人惊讶的是，不仅仅是这些攻击的频率在增加，而且它们的大小也在不断增加。在2013年，只有不到40次的攻击超过了100 Gbps，但在2014年，有159次攻击次超过100 Gbps，最大的是400 Gbps。

所以企业网络应该选择最好的DDoS攻击防范服务，以阻止DDoS攻击。

DDoS攻击类型：

不同类型的DDoS攻击有很大差异，一般分为如下三大类：

1、容量耗尽式攻击 – 这种攻击的目的是企图通过消耗带宽的流量或资源泄漏请求来淹没网络基础架构。

2、TCP状态耗尽攻击 – 攻击者使用这种方法滥用TCP协议的状态属性，以耗尽服务器、负载平衡器和防火墙中的资源。

3、应用层攻击 – 这些攻击的目标是7层应用或服务。

容量耗尽式攻击仍然是DDoS攻击中最常见的类型，但是将所有三种矢量结合在一起的攻击也变得司空见惯，并且增加了攻击的长度和幅度。

DDoS攻击背后的主要驱动因素包括：政治和意识形态、破坏行为和网络在线游戏。游戏玩家会为了获得竞争优势而在游戏基础架构上发挥作用并赢得在线游戏。

尽管DDoS是黑客们和恐怖分子的首选武器，但它也被用于勒索或干扰竞争对手的运营。

DDoS攻击作为牵制策略的使用也在增长。例如，持续的威胁活动正在使用针对网络的DDoS攻击来分散注意力，与此同时泄露被盗数据。

随着黑客社区将复杂的攻击工具集成到易于使用的可下载程序中，所以任何人都可以购买启动和控制自己的DDoS攻击的能力。

而且随着攻击者开始向游戏后台、路由器和调制解调器发动攻击，从而达到增加攻击流量的目的，故此情况只会越来越糟。

这些设备具有默认情况下联网的功能，并使用默认帐户和密码，使其轻而易举的成为登录DDoS攻击目标。大多数也是通用即插即用（UPnP），其基础协议可以被滥用。

Akamai Technologies发现，有410万面向互联网的UPnP设备可能容易受到反射类型的DDoS攻击。越来越多的欠缺安全性和配置了互联网的设备，正在促使攻击者产生更强大攻击的能力。

因此，为了保护您的公司网站免受攻击，请检查DDOS攻击停机时间成本。

防御方法：

保护面向互联网的设备和服务和将互联网作为一个单独的网络非常重要，因为它可以减少参与DDoS攻击的设备数量。

通过重复测试并执行严格的方法，是对所有类型的Web应用程序漏洞进行渗透测试的最佳方法之一。

黑客滥用生成的DDoS流量的主要协议包括NTP、DNS、SSDP、Chargen、SNMP和DVMRP; 任何使用这些协议的服务都应该仔细配置并在强化的专用服务器上运行。

例如，运行DNS服务器的企业应遵循NIST的特殊出版物800-81安全域名系统（DNS）部署指南，而网络时间协议站点则提供有关保护NTP服务器的建议。

许多攻击行为的产生，是因为攻击者可以骗取源IP地址的流量。因此企业需要实施IETF最佳通用实践文档BCP 38和BCP 84中所述的反欺骗过滤器，以防止黑客发送恶意数据包。

所有不同的DDoS攻击类型都是无法预测或避免的，即使是有限资源的攻击者也可以生成大量的流量，以打垮或严重破坏大量防御森严的网站。

尽管完全消除或减轻DDoS攻击是不可能的，但从长远来看，减少DDoS攻击的关键是确保所有机器和服务做了正确的配置，以便那些公开可用的服务不会被潜在的攻击者利用和滥用。

在此提醒，各大公司和组织应始终确保并专注于企业网络的最大保护级别。