本文赞助来自于 Incapsula. 感谢各位老板

如果你没有对自己的站点采取一些必要的保护措施，将会使它直接暴露于 DDoS 攻击的风险下且无任何招架之力。你应该对法国大选日 knocked out 网站被 DDoS 攻击和 2016 年十月份时候美国 DNS 服务器被 DDoS 导致无法访问 New York Times 和 Wired 网站的事情还有印象。通过过去这些案例，我们可以了解到 DDoS 其实就是攻击者利用分布在全球各地的肉鸡对目标服务器发起巨量的非正常请求，使得目标服务器忙于处理这些非正常请求而无法处理正常请求，从而达到破坏的目的。

但如今的 DDoS 攻击手段也在不断发展，它们从过去只是简单的干扰防火墙和 DNS 服务器，进化成了可以精确攻击企业内部的设备和网络应用，从而造成巨大的损失。

应用层 DDoS 攻击

不同于网络层的 DDoS，应用层 DDoS 的特点是它们能用更少的流量来达成破坏的目的。应用层的活动需要不断地向应用程序发出调用，如网站、web应用程序、服务器和插件等，攻击者通过占用其所驻留的服务器资源来使应用程序变慢或者停止。

面向Internet的web应用程序容易受到大量攻击，如跨站点脚本攻击(XSS)和SQL注入攻击。应用层攻击也不同于常见的边界攻击或者网络层攻击，攻击者常通过使用特定命令来将应用程序关闭并占用其服务器资源。

总的来说，DDoS攻击数量一直都在增加，上面那种针对 knock out 网站的攻击并不是攻击的大头。大部分的 DDoS 攻击更多是针对的托管web应用程序的服务器。

举个例子，在过去连续四个季度，Incapsula 公司记录了网络层攻击数量从2015年的568起减少到了269起。与此同时，应用层攻击却一直在增加，甚至达到了每周 1099 次。

安全专家预测，互联网企业每年至少都会遭遇一次 DDoS 攻击。Imperva 负责市场营销的副总裁蒂姆·马修斯(Tim Matthews)在接受《黑暗阅读》(Dark Reading)采访时说:“这（遭受 DDoS 攻击）只是时间问题”

应用层 DDoS 攻击数量激增的原因有两方面。

首先，应用程序的数量正在增加。在2016年，半数接受调查的组织表示，他们有意向发布和维护自己的应用程序。

DDoS 攻击增多的另一个原因主要是由于黑客和有攻击意向的黑客拥有了更多的资源。在过去，黑客想要建立一个僵尸网络或者肉鸡群去攻击某些特定资源成本是非常高的。现在，任何人只要花很少的钱甚至免费，就可以在暗网上获取到攻击软件，或者可以用很低廉的价钱，就可以雇个人为他们做攻击软件。在2015年的时候就已经有学生在尝试这些事情了。

成本

任何 DDoS 攻击都会损害客户利益，最终导致企业声誉受损，客户并不关心他们遭受了哪种DDoS，他们只知道他们不能正常使用了。例如，今年2月，黑客 DDoS 攻击了一所美国大学。这次攻击造成了超过两天的网络中断，学生、家长和员工都无法登录学校网站。结果那所学校就只能关闭了。

可能对于上面例子的学校来说，经济损失难以量化，但对于一家销售产品的企业来说，它的经济损失就会很快上升。以美元为例，一个小时的停机时间可能要花2万美元。这还没有计算对企业的声誉损失和未来销售的软成本。毕竟，用户可能会怀疑，你们连自己都没法保护好，怎么相信你们能把我们的数据保护好呢。

--ADVERTISEMENT--

开发需要一个安全的应用环境。

综合考虑 DDoS 攻击数量的激增、发起攻击的低成本以及攻击对业务造成的巨大影响，很明显，开发人员需要为攻击做好准备。

但就像大多数 IT 企业一样，开发将安全视为实现目标的障碍。根据 Gartner 的说法，注重安全策略会让开发人员产生一种受阻碍的感觉。更糟糕的是，大多数开发人员在学校没有学习安全编码，如果他们不考虑安全性，就会让应用程序更容易受到攻击。

Garner 还提出说，开发人员需要改变他们的习惯。他说道，“信息安全架构师必须以协作方式将多个点的安全性集成到开发运维工作流程中，这对开发人员来说应该是透明的，保持了开发的敏捷性和安全性。

虽然开发人员在不断提高他们的技能，并且几乎每天都在提醒他们需要在代码中注意安全性，但是现在依然还有很多在稳定运营的安全性不足的 APP。缓解此问题最快的方法就是购买提供 Web 应用程序防火墙(WAF)的服务。它是应用一组规则到 HTTP 会话的设备或基于云的服务或两者的组合。通常，这些规则涵盖了常见的攻击，如跨站点脚本(XSS)和 SQL 注入。通过自定义规则，可以识别和阻止许多类型的 Web 攻击。WAF 会在流量到达应用服务器之前就把这些问题解决。

如何为您的网站选择 DDoS 保护服务

现在正是购买 WAF 的时候，但是市场上有太多的选择。并不是所有的 WAF 和适用情况都是一样的。大家的需求都不太一样。大多数 WAF 都是基于云的，可以在几分钟内部署使用起来。

以下是一些你在选购 WAF 之前应该弄清楚的问题：

DDoS 方案是否是众包的？

使用众包技术可以快速对整个客户群体建立保护。然后把每次遇到的攻击情况收集起来建立一个威胁信息数据库，可以使用大数据分析这些威胁信息。

服务提供商的市场份额有多少?

并不是说份额最大的就是最好的，但是当我们需要利用众包的时候，越大的客户群体，对降低攻击风险越有帮助。

WAF 是否经过PCI SSC认证?

支付行业(PCI)安全标准委员会是一个与供应商无关的机构，它向证明遵守其12个 PCI 数据安全标准的供应商提供认证。

DDoS 只在 Prem 上吗

虽然专用的 DDoS 安全设备可以防止应用程序 DDoS 攻击，但它们不能处理大规模的容量攻击——如超过 200 Gbps 的攻击。为了消除停机时间，必须在到达网络之前阻止这种容量的攻击。虽然在某些情况下，有一个on prem box可能很有用，但是请确认一下服务提供商是否有云解决方案来进行补充。

您的 WAF 是否需要进行行为异常检测?

异常检测是利用数据分析检测不符合数据集中期望模式或结果的一种手段。这种检测通常用来检测访问者是否人类

你打算部署之后就不管了吗？

只要有足够的持续攻击时间，任何攻击者都可以找到进入网络的方法。人们需要及时意识到从而转变策略。人工智能是好的，但在人类智能的辅助下才能更好

有一种被称为五环方法的应用层 DDoS 防御方法帮助上述美国大学迅速减轻攻击。Incapsula 是该解决方案的提供商。工程师们在攻击者改变攻击策略的时候同样也进行了调整，使攻击得到了控制。

DDoS 通常被用于敲诈、勒索、报复，或者仅仅是为了取乐。那些不保护自己网站的开发者将会成为犯罪分子的工具。就像 Incapsula 的蒂姆·马修斯说的，“这只是个时间问题。”

译文出处：https://www.zcfy.cc/article/how-to-choose-a-ddos-protection-service-for-your-websites