DDoS 缓解和防护工作通常依赖于尽快转移恶意流量,例如通过将网络流量路由到清洗中心或使用负载平衡器重新分配攻击流量。为此,旨在加强 DDoS 攻击防御的公司可能会采用能够识别和拦截恶意流量的技术,包括:
Web 应用程序防火墙。如今,大多数组织都使用外围设备和 Web 应用程序防火墙 (WAF) 来保护其网络和应用程序免受恶意活动的侵害。标准防火墙在端口级别提供保护,而 WAF 在将请求转发到 Web 服务器之前确保请求是安全的。WAF 知道哪些类型的请求是合法的,哪些类型是非法的,因此能够丢弃恶意流量并防止应用层攻击。
内容交付网络 (CDN)。CDN 是一个分布式服务器网络,可以帮助用户更快速、更可靠地访问在线服务。通过使用 CDN,用户的请求不会一直传回服务的源服务器。相反,系统会将它们路由到地理位置较近的 CDN 服务器来交付内容。CDN 可以通过提高服务的整体流量容量来帮助防御 DDoS 攻击。如果 CDN 服务器因 DDoS 攻击而瘫痪,用户流量可以路由到网络中其他可用的服务器资源。
SIEM(安全信息和事件管理)。SIEM 系统提供一系列功能,用于在生命周期的早期检测 DDoS 攻击和其他网络攻击,包括日志管理和网络洞察。SIEM 解决方案旨在对本地和基于云的安全工具生成的安全数据进行集中式管理。SIEM 可以监控连接的设备和应用程序是否存在安全事件和异常行为,例如过多的 ping 或非法连接请求。然后,SIEM 会标记这些异常,以便网络安全团队采取适当的措施。
检测和响应技术。端点检测和响应 (EDR)、网络检测和响应 (NDR) 以及扩展检测和响应 (XDR) 解决方案均使用高级分析和 AI 来监控网络基础设施的受感染指标(例如可能指示存在 DDoS 攻击的异常流量模式),并使用自动化功能来实时响应正在进行的攻击(例如终止可疑的网络连接)。
