也许网络数据是防止DDoS攻击的关键

基于WFH（远程办公）创建了一个具有较低安全端点和许多需要监视的第三方平台的分布式网络。结果，DDoS攻击正变得越来越普遍。

自商业互联网问世以来，分布式拒绝服务（DDoS）攻击一直是一种威胁。它们代表着一场没有硝烟的战争，其中几百元成本的攻击可能导致公司损失几百万甚至更多。如今，攻击者正在增加其目标多样性和复杂性，同时攻击流量会同时跨越数据，应用程序和基础架构，以增加成功的机会。

大多数人可能将DDoS攻击仅视为安全问题。但现实情况是，网络运营团队在安全团队看到攻击本身之前就已经看到流量异常。而公司了解网络流量数据是防止DDoS攻击的关键。

一般是如何阻止DDoS攻击？

典型的DDoS防御模型利用带外设备，即网络运营商在其网络运营中心（NOC）或DC中安装的设备。这些设备检测网络流数据，边缘路由器的网络元数据和边界网关协议（BGP）数据中的异常。然后，该设备向网络发出信号，以在网络边缘丢弃流量或将流量重定向到本地DDoS清理设备，例如Radware，A10或Correro提供的设备。

有时，流量还会通过第三方云环解服务传递，例如CloudFlare，Neustar或Akamai提供的服务。随着时间的流逝，缓解设备只需要缓解总流量的一小部分。仅在发生攻击时才有选择地将流量推送到缓解设备，以使该解决方案的成本效益最大化。这种方法在纸面上是有意义的，但是所有基于此类设备的DDoS防御解决方案固有的缺点是它们的检测精度很低。

结果，工程师们陷入了使用盲目人工干预处理不准确警报的困境。这意味着他们要花更多时间对网络设备进行配置更改或重新路由流量，而不是专注于关键任务。而且，这些干预措施通常不会带来积极的结果。为了采用更准确的缓解方法，公司需要一种能够实时监控大量网络流量的解决方案。

公司如何建立更好的环及流程？

公司可以通过多种方式开始将DDoS攻击视为网络问题。它们包括：

串联设备缓解：此方法通过一个或多个支持深度数据包检查的DDoS保护设备发送所有流量。如果设备确定要攻击的特定流量或数据包，则将其丢弃并允许合法流量通过。此方法对于更复杂的攻击类型以及非常快速的检测和缓解很有用。但是，这是一种昂贵的方法，无法扩展到大型网络。

基于云的DDoS防御服务：基于云的DDoS防御服务可以检测和缓解攻击，而无需受攻击的网络部署本地资源。大多数云DDoS防御服务不提供检测服务；而是由客户自行决定在发生攻击时重新路由流量。或者，公司可以使用“始终在线”服务来清理流量并将其返回给相关公司。基于云的服务比内联方法便宜一些，但价格却不高。

路由技术：远程触发黑洞（RTBH）：流量黑洞是通过更改路由参数在网络边缘丢弃流量来实现的DDoS缓解形式。黑洞的最常见形式是基于目标的远程触发黑洞（RTBH）。这种方法将攻击流量重新路由到不存在的目的地（黑洞），其缺点是合法流量也可能丢失。BGP Flowspec通过仅阻止攻击流量并允许合法流量通过对这种方法进行了改进。但是，Flowspec可能是要部署的复杂协议。\

混合DDoS防御：混合DDoS防御由本地缓解设备和基于云的缓解服务组合而成。这种方法可从本地设备获得最快的响应，但可以使用基于云的缓解服务将其扩展到非常大的攻击。

监控，检测，缓解

在可预见的将来，许多企业员工正在采用在家工作的模式。这种安排将创建一个分布式网络，该网络的端点安全性较低，并且需要监视大量第三方平台集成。结果，DDoS攻击正变得越来越重要。为了减轻DDoS攻击，公司必须将其视为安全问题而不是网络可靠性问题。我对公司的建议是：

监视连接到其网络的单个IP地址的全网络流量级别

监视多个数据维度。在许多情况下，寻找违反简单流量阈值的方法就足够了，但对于大多数攻击而言，超越单一维度并识别多个指标之间的关系变得很有必要。

实施通过自动学习并不断更新前N名流量接收者列表来自动识别和跟踪“有趣” IP地址的技术，然后执行基准测试和测量以检测该列表中任何当前成员的异常情况。

预先设计满足组织需求的缓解解决方案。详细地说，每种方法都有一些权衡，因此必须确定保护，成本和可伸缩性之间的适当平衡。