了解 DDoS 攻击的保护误区

关键要点

• DDoS 攻击是一个持续演变的威胁，任何组织都可能成为目标。
• 依赖内容分发网络（CDN）并不足以提供全面保护。
• 防火墙不能有效抵御应用层攻击，配合使用其他安全工具才是最佳选择。

网络运营商多年来一直知道，分布式拒绝服务（DDoS）攻击是一种持久且不断演变的威胁。攻击者发起 攻击的原因各不相同，包括勒索、竞争对抗、意识形态动机、与网络游戏相关的争端，以及最常见的，出于经济利益。然而，保护公司资产免受这些新威胁的方法往往仍被误解。

以下是我们需要澄清的三种 DDoS 保护神话，以及当前和未来的缓解最佳实践：

神话 #1: DDoS 攻击不会针对我们的组织

尽管每日有大量新的出现，数量在2022年上半年达到了超过，许多组织仍然认为自己抵御不了网络层的新威胁。就像某些自然灾害在世界各地变得愈加频繁一样，互联网环境也在不断变化。特别是在一些行业中，如卫星通信和教育，网络的攻击面呈指数级增长。

忽视这一威胁或认为它不会发生是极其短视的，但不要失去希望，因为现在有新的方法来保护公司资产。回归自然灾害的类比，在自然灾害频发的地方，社区往往会采取更积极的措施来建设更具韧性的结构，并从过去的事件中学习如何改进未来的防御。同样，DDoS防御策略的最佳实践也已经被广泛理解，任何安全团队都可以通过一定的前期规划来实施这些措施。

网络运营商通常会寻求内容分发网络（CDN）和网络应用防火墙（WAF）提供的 DDoS缓解工具来应对攻击。尽管这些工具非常强大，但它们并不能全面解决日益复杂的 DDoS 攻击带来的挑战。

神话 #2: CDN 是最佳保护方法

主要是为了分发 web内容，尽可能将其放置在离最终用户较近的地方，以提高性能、可靠性和延迟。由于其架构的特性，CDN能够很好的应对高流量的冲击。实际上，其设计目的就是为了应对这些流量的增长，无论是像供应商补丁或操作系统升级这样的良性增长，还是像 DDoS攻击流量这样的恶性增长。

在其基础设施内被攻击时，CDN 通常能有效缓解 DDoS 攻击。然而，它们只是解决方案的一部分。依赖于基于 CDN 的 DDoS保护的组织仍然容易受到大多数 DDoS 攻击向量的威胁。我们在 WAF 中也发现了同样的脆弱性。最终，虽然 CDN可以有效缓解穿越其基础设施的攻击，但那些未通过 CDN 交付的应用和服务依然脆弱，我们需要用无状态、专用的 DDoS 解决方案来保护它们。

神话 #3: 防火墙可以充分保护应用层攻击

通常情况下，防火墙在网络防御中扮演着至关重要的角色，它根据预设的信息（如源和目的地址、端口及协议）阻止不必要的流量，因此，它是安全体系的一部分。然而，尽管防火墙可以阻止未知和不必要的流量，它们通常很难检测跨越可信协议和端口的恶意流量，例如 HTTP/S、 或 IMAP。

为了阻止应用层 DDoS 攻击，安全团队往往会部署 WAF。虽然 WAF 可以帮助过滤或阻止访问服务器或数据的尝试，但和所有防