互联网
对于几乎所有网络管理员而言,有一个通用的解决方案:构建黑洞路由,然后让流量都导向这个路由。最简单的黑洞过滤方式,就是在没有特殊限制条件下实施黑洞过滤时,合法与恶意的网络流量都会被路由到空路由(也就是黑洞),然后从网络里被丢弃。要是
互联网设备遭受DDoS攻击,该设备的
互联网服务提供商(ISP)也许会把站点的全部流量都送到黑洞中,以此作为防御手段。但这并非理想的解决办法,因为这就等同于让攻击者实现了目的:使网络无法访问。限制
服务器在某个时段接收的请求数量,这也是防范拒绝服务攻击的一种途径。虽然速率限制在减缓Web爬虫窃取内容以及防范暴力破解攻击方面很有用,可是仅仅依靠速率限制,可能没办法有效应对复杂的DDoS攻击。不过,在高效的DDoS防护策略里,速率限制也算是一种有效的手段。Web应用程序防火墙(WAF)是个很有效的工具,它有助于减轻第7层DDoS攻击。在
互联网和源站之间部署WAF之后,WAF可以充当反向代理,保护目标
服务器,防止其遭受特定类型的恶意流量入侵。通过依据一系列用来识别DDoS工具的规则来过滤请求,就能阻挡第7层攻击。一个有效的WAF的关键价值在于能够迅速实施自定义规则来应对攻击。可以了解一下
百度云防护的WAF。这类缓解方法会用到高防CDN网络,把攻击流量分散到分布式
服务器网络里,直到网络能够吸纳这些流量为止。这种方法就像是把湍急的河流引入若干单独的小水渠,把分布式攻击流量的影响分散到能够管控的程度,从而分散破坏力。CDN网络在缓解DDoS攻击方面的可靠性取决于攻击规模以及网络的规模和效率。推荐
百度云防护。
