多年来,针对竞争对手的恶意攻击和客户需求,伊恩一直致力于在DDoS攻击防护领域的深入研究 对于客户来说,如果不寻求专业服务,很容易遇到关于如何保护DDoS的不可靠建议 以下是一些常见的误解,有助于加深您对分布式拒绝服务攻击方法的理解
误解1: CDN提供DDoS攻击防护 如果你认为CDN可以区分正常流量和攻击流量,可能会有误解 CDN本身并不是为了提供安全性而设计的。它可以减轻一些攻击,但不是所有的攻击 如果您想使用CDN来防止DDoS攻击,请确保您的CDN服务包括DDoS攻击清除工具 在任何情况下,CDN本身都不能针对当前的DDoS攻击提供全面的保护
误解2:“黑名单”是限制资源访问的理想工具 你不应该仅仅依靠黑名单和白名单来限制资源访问 因为列表是静态的,所以在配置后通常会过时 当然,它们可以用来减少虚假流量,但是当你成为攻击的目标时,它们的效果就真的有限了 这是因为虚假流量来自于一个你平时并不认为可疑的来源,所以你还没来得及被列入黑名单。
误解3:防火墙可以抵御任何DDoS攻击 防火墙对于当今复杂的DDoS攻击不够有效 此外,它们可能成为恶意流量的入口点或攻击的实际目标 存储和防火墙处理所有信息所需的计算能力非常有限,这使得它们很容易成为分布式拒绝服务攻击的目标
误区4:基于阈值的告警服务足以对DDoS进行保护 其实高峰流量告警并不能阻止DDoS攻击,它只是报告你的危机正在发生。 可能已经有20到30分钟了,因为警报服务注意到了DDoS流量的峰值,您开始处理其后果 在此期间,您的网站或应用程序将被关闭,需要由专家进行恢复 此时,黑客可能会窃取您的数据或进行更多隐藏的恶意活动
误解5:DDoS攻击的主要目标是击败整个企业 虽然DDOS攻击不断出现在新闻中,但只有少数能够摧毁整个企业,彻底停止其运营 它们中的大多数被设计成在一定时间内中断特定的网站、网络应用或服务器 这些选择性攻击的规模和持续时间都很小,传统的反DDoS解决方案根本不会注意到它们,或者不能及时响应以有效阻止它们 我们的研究表明,绝大多数DDoS攻击都是低门槛的短期攻击,通常用于打击竞争对手的促销活动和敲诈勒索,或者作为更严重的隐藏活动的掩护,如盗用身份和从账户中窃取资金等。 以上的误解相当普遍,但是很多人在DDoS攻击防护方面没有足够的经验,所以他们相信这些神话直到他们面对现实 事实上,只有专门的DDoS高防御服务器或其他专业服务才能实时、全天候地检测和阻止所有类型和数量的DDoS攻击,确保资源的最大稳定性