高防服務器中防御DDoS常見的錯誤觀點:1. 高防服務器防火墻可以防御任何DDoS攻擊。2. 高防CDN可以提供DDoS攻擊保護。3 基于閾值的警報服務足以用于DDoS保護。4. “黑名單”是限制資源訪問的理想工具。5.DDoS攻擊的主要目標是打垮整個企業。
具體內容如下:
一、所謂“防火墻”是指一種將內部網和公眾訪問網分開的方法,它實際上是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術、隔離技術。對于當今日益復雜的DDoS攻擊還不能完全起效。而且,它們甚至可以成為惡意流量的入口點或攻擊的實際目標。存儲和防火墻處理所有信息所需的計算能力非常有限,因此也讓它們成為黑客的輕松攻擊目標。
二、一般情況下,CDN是無法區分正常流量和攻擊流量的。CDN的首要目的并不是提供安全性,而是緩解網絡擁堵問題,能夠在一定程度上緩解一些攻擊,但絕不是所有攻擊。如果要利用CDN來防護DDoS攻擊,除非你的CDN服務中包含DDoS攻擊清洗工具。無論如何,CDN本身不可能提供針對當前DDoS攻擊的全面保護。
三、流量峰值警報無法阻止DDoS攻擊,因為它只是報告你危機正在發生。當警報服務注意到DDoS流量高峰并且您開始處理后果時,可能已經過去了20到30分鐘。在此期間,您的網站或應用程序將關閉,并需要由專家進行恢復。此時黑客還有可能竊取您的數據或進行更多其他潛藏的惡意活動。
四、僅僅依靠黑名單和白名單來限制資源訪問是不現實的。因為列表是靜態的,因此通常它們在配置之后就會過時。當然,它們在一定程度上能夠減少虛假流量,但是當攻擊者有意發動攻擊,其效果就微不足道了。因為虛假流量一般不會來自你認為可疑的來源,因此也不一定會存在你的黑名單中。
五、其實只有極少的DDoS可以打垮一個企業,大多數的DDoS攻擊只能選擇在特定時間使特定的網站中斷服務,規模和持續時間是有限的。因此絕大多數DDoS攻擊是低門限的短期攻擊,通常用于打擊競爭對手的促銷活動、勒索或作為更嚴重潛藏活動的掩護,例如身份盜竊、從賬戶中竊取資金等。
