什麼是 DDoS 攻擊以及如何防範它們

不幸的是，分佈式拒絕服務 (DDoS) 攻擊比我們希望的更常見。這就是組織需要積極防禦它們和其他威脅的原因。雖然這些類型的攻擊可能很惡劣並對您的系統產生重大影響，但它們也相對容易被檢測到。

在這篇博文中，我們將研究保護資產免受 DDoS 攻擊的方法，並回顧一些可以幫助您解決問題的產品。

我們將首先描述什麼是 DDoS 攻擊。正如您將要發現的，它們的操作原理很簡單，因為它們的潛在影響很大。我們還將探討這些攻擊通常如何分類以及各種類型的攻擊實際上有何不同。接下來，我們將討論如何防範 DDoS 攻擊。我們將看到內容交付網絡如何讓攻擊者遠離您的服務器，以及負載平衡器如何檢測攻擊並引導攻擊者遠離。但是對於那些設法真正到達您的服務器的罕見攻擊，您需要一些本地保護。這就是安全信息和事件管理 (SIEM) 系統可以提供幫助的地方，因此我們的下一個任務將是審查我們可以找到的一些最好的 SIEM 系統。

關於 DDoS

拒絕服務 (DoS) 攻擊是惡意嘗試影響目標系統（例如網站或應用程序）對其合法最終用戶的可用性。通常，攻擊者會生成大量數據包或請求，最終使目標系統不堪重負。分佈式拒絕服務 (DDoS) 攻擊是一種特定類型的 DoS 攻擊，在這種攻擊中，攻擊者使用多個受損或受控制的源來生成攻擊。DDoS 攻擊通常根據它們攻擊的 OSI 模型的哪一層進行分類，大多數攻擊發生在網絡層（第 3 層）、傳輸（第 4 層）、表示（第 6 層）和應用層（第 7 層） ）。

較低層（例如第 3 層和第 4 層）的攻擊通常被歸類為基礎設施層攻擊。它們是迄今為止最常見的 DDoS 攻擊類型，包括諸如 SYN 泛洪之類的向量和 UDP 泛洪等其他反射攻擊。這些攻擊通常規模很大，旨在使網絡或應用程序服務器的容量過載。好消息（因為受到攻擊有什麼好處）是它們是一種具有明確特徵的攻擊，並且更容易被檢測到。

對於第 6 層和第 7 層的攻擊，它們通常被歸類為應用層攻擊。儘管這些攻擊不那麼頻繁，但它們也往往更加複雜。與基礎設施層攻擊相比，這些攻擊的數量通常較小，但它們往往側重於應用程序的特定昂貴部分。這些類型的攻擊的例子包括對登錄頁面或昂貴的搜索 API 的大量 HTTP 請求，甚至 WordPress XML-RPC 洪水，也稱為 WordPress pingback 攻擊。

必讀：7 個最佳入侵防禦系統 (IPS)

防禦 DDoS 攻擊

要有效抵禦 DDoS 攻擊，時間至關重要。這是一種實時類型的攻擊，因此需要實時響應。或者是嗎？事實上，防止 DDoS 攻擊的一種方法是將攻擊者發送到您的服務器之外的其他地方。

實現此目的的一種方法是通過某種類型的內容分發網絡 (CDN) 分發您的網站。使用 CDN，您網站的用戶（合法用戶和潛在攻擊者）永遠不會訪問您的 Web 服務器，而是訪問 CDN 的 Web 服務器，從而保護您的服務器並確保任何 DDoS 攻擊只會影響您的一小部分客戶端。

Another way of preventing DDoS attacks from reaching your servers is through the use of load balancers. Load balancers are appliances that are typically used to steer incoming server connections to multiple servers. The main reason why they are used is to provide extra capacity. Let’s suppose that a single server can handle up to 500 connections per minute but your business has grown and you now have 700 connections per minute. You can add a second server with a load balancer and incoming connections will be automatically balanced between the two servers. But the more advanced load balancers also have security features例如，它可以識別 DDoS 攻擊的症狀並將請求發送到虛擬服務器，而不是潛在地使您的服務器過載。雖然這些技術的效率各不相同，但它們構成了良好的第一道防線。

安全信息和事件管理救援

安全信息和事件管理 (SIEM) 系統是抵禦 DDoS 攻擊的最佳方法之一。他們的運作方式允許檢測幾乎任何類型的可疑活動，他們典型的補救過程可以幫助阻止攻擊停止。SIEM 通常是抵禦 DDoS 攻擊的最後一道防線。他們將捕獲任何真正進入您系統的攻擊，即那些設法繞過其他保護手段的攻擊。

SIEM的主要元素

我們將更深入地探索 SIEM 系統的每個主要組件。並非所有 SIEM 系統都包含所有這些組件，即使包含這些組件，它們也可能具有不同的功能。然而，它們是人們通常會在任何 SIEM 系統中以一種或另一種形式找到的最基本的組件。

日誌收集與管理

日誌收集和管理是所有 SIEM 系統的主要組成部分。沒有它，就沒有 SIEM。SIEM 系統必須從各種不同的來源獲取日誌數據。它可以拉動它，或者不同的檢測和保護系統可以將它推向 SIEM。由於每個系統都有自己的分類和記錄數據的方式，SIEM 負責規範化數據並使其統一，無論其來源是什麼。

標準化後，通常會將記錄的數據與已知的攻擊模式進行比較，以嘗試儘早識別惡意行為。數據也經常與之前收集的數據進行比較，以幫助建立基線，進一步增強異常活動檢測。

另請閱讀：經過 測試和審查的最佳雲日誌服務

事件響應

一旦檢測到事件，就必須對其採取措施。這就是 SIEM 系統的事件響應模塊的全部意義所在。事件響應可以採用不同的形式。在其最基本的實現中，將在系統控制台上生成一條警報消息。通常還可以生成電子郵件或 SMS 警報。

但是最好的 SIEM 系統更進一步，通常會啟動一些補救過程。同樣，這可以採取多種形式。最好的系統具有完整的事件響應工作流程系統，可以對其進行自定義以準確提供您想要的響應。正如人們所期望的那樣，事件響應不必是統一的，不同的事件可以觸發不同的流程。最好的系統將使您完全控制事件響應工作流程。請記住，在針對 DDoS 攻擊等實時事件尋求保護時，事件響應可能是最重要的功能。

儀表板

一旦您擁有日誌收集和管理系統以及響應系統，下一個重要模塊就是儀表板。畢竟，它將是您了解 SIEM 系統狀態以及網絡安全狀態的窗口。它們是如此重要的組件，許多工具都提供多個儀表板。由於不同的人有不同的優先事項和興趣，網絡管理員的完美儀表板將與安全管理員的儀表板不同，執行官也需要完全不同的儀表板。

雖然我們無法根據儀表板的數量來評估 SIEM 系統，但您需要選擇一個具有所需儀表板的系統。這絕對是您在評估供應商時需要牢記的事情。許多最好的系統都可以讓您根據自己的喜好調整內置儀表板或構建自定義儀表板。

報告

SIEM 系統的下一個重要元素是報告。您可能還不知道——它們不會幫助您預防或阻止 DDoS 攻擊，但您最終將需要報告。高層管理人員將需要他們親眼看看他們在 SIEM 系統上的投資是否獲得回報。您可能還需要出於符合性目的的報告。當您的 SIEM 系統可以生成符合性報告時，可以輕鬆遵守 PCI DSS、HIPAA 或 SOX 等標準。

雖然報告可能不是 SIEM 系統的核心，但它們仍然是必不可少的組件。通常，報告將是競爭系統之間的主要區別因素。報告就像糖果一樣，您永遠不會擁有太多。當然，最好的系統可以讓您調整現有報告或創建自定義報告。

防禦 DDoS 攻擊的頂級工具

儘管有各種類型的工具可以幫助抵禦 DDoS 攻擊，但沒有一種工具能提供與安全信息和事件管理工具相同級別的直接保護。這就是我們列表中的所有工具實際上都是 SIEM 工具。我們列表中的任何工具都將提供一定程度的保護，以抵禦許多不同類型的威脅，包括 DDoS。我們按照個人喜好的順序列出了這些工具，但儘管它們的順序不同，但所有六個都是出色的系統，我們只能建議您親自嘗試一下，看看它們如何適合您的環境。

1. SolarWinds 安全事件管理器（免費試用）

您之前可能聽說過SolarWinds。大多數網絡管理員都知道該名稱並且是有原因的。該公司的旗艦產品Network Performance Monitor是可用的最佳網絡帶寬監控工具之一。但這還不是全部，該公司還以其眾多免費工具而聞名，例如高級子網計算器或SFTP 服務器。

SolarWinds為幾乎所有網絡管理任務提供了工具，其中包括 SIEM。儘管SolarWinds安全事件管理器（也稱為SEM）最好被描述為入門級 SIEM 系統，但它可能是市場上最具競爭力的入門級 SIEM 系統之一。該SolarWinds的小號EM有你的來從SIEM系統所期望的一切。它具有出色的日誌管理和關聯功能、出色的儀表板和令人印象深刻的報告引擎。

• 免費試用：SolarWinds 安全事件管理器
• 官方下載鏈接：https://www.solarwinds.com/security-event-manager/registration

該SolarWinds的安全事件管理器會提醒您最可疑行為，讓您更多的時間和資源專注於其他關鍵項目。該工具具有數百個內置關聯規則，用於觀察您的網絡並將來自各種日誌源的數據拼湊在一起，以實時識別潛在威脅。您不僅可以獲得開箱即用的關聯規則來幫助您入門，日誌數據的規範化還允許創建無限的規則組合。此外，該平台具有內置的威脅情報源，可用於識別源自已知不良行為者的行為。

DDoS 攻擊造成的潛在損害通常取決於您識別威脅並開始解決它的速度。該SolarWinds的安全事件管理器可以每當一定的相關性規則觸發自動加速他們的響應。響應可能包括阻止 IP 地址、更改權限、禁用帳戶、阻止 USB 設備、終止應用程序等。該工具先進的實時響應系統將對每個威脅做出積極的反應。而且由於它基於行為而不是簽名，因此您可以免受未知或未來的威脅。僅此功能就使其成為 DDoS 保護的絕佳工具。

該SolarWinds的安全事件管理器是通過發送日誌和事件信息節點的數量授權。在這種情況下，節點是從中收集日誌和/或事件數據的任何設備（服務器、網絡設備、台式機、筆記本電腦等）。30 台設備的起價為 4665 美元，包括第一年的維護。其他許可層級最多可用於 2500 台設備。如果您想在購買前試用該產品，可以下載免費的全功能 30 天試用版。

2. RSA 網絡見證

Since 2016, NetWitness has focused on products supporting “deep, real-time network situational awareness and agile network response”. The company’s history is a bit complex: After being acquired by EMC which then merged with Dell, the NetWitness business is now part of the RSA branch of Dell, which is great news as RSA enjoys a solid reputation in IT security.

RSA NetWitness是一款出色的產品，適合尋求完整網絡分析解決方案的組織。該工具包含有關您的業務的信息，有助於確定警報的優先級。根據RSA 的說法，該系統“比其他 SIEM 解決方案收集更多的捕獲點、計算平台和威脅情報源的數據”。還有先進的威脅檢測，它結合了行為分析、數據科學技術和威脅情報。最後，高級響應系統擁有編排和自動化功能，可幫助您在威脅影響您的業務之前將其消除。

RSA NetWitness的主要缺點之一是它不是最容易使用和配置的產品。但是，有許多全面的文檔可以幫助您設置和使用該產品。這是另一種企業級產品，您需要聯繫RSA銷售人員以獲取詳細的定價信息。

3. ArcSight 企業安全管理器

ArcSight Enterprise Security Manager有助於識別安全威脅並確定其優先級，組織和跟踪事件響應活動，並簡化審計和合規性活動。這是另一款有著複雜歷史的產品。以前以HP品牌銷售，現在已與另一家HP子公司Micro Focus合併。

的的ArcSight企業安全管理器是另一種非常流行的SIEM工具，它的存在了超過十五年。該工具編譯來自各種來源的日誌數據並執行廣泛的數據分析，尋找惡意活動的跡象。為了便於快速識別威脅，該工具可讓您實時查看分析結果。

在功能方面，該產品沒有太多不足之處。它具有強大的分佈式實時數據關聯、工作流自動化、安全編排和社區驅動的安全內容。的的ArcSight企業安全管理器還集成了其它的ArcSight的產品，如ArcSight可數據平台和事件代理或ArcSight可調查。這是另一種企業級產品，與幾乎所有優質 SIEM 工具一樣，需要您聯繫銷售團隊以獲取詳細的定價信息。

4. Splunk 企業安全

Splunk的企業安全-or Splunk的ES，因為它通常被稱為-可能是最流行的SIEM系統之一，它是其分析能力特別有名。該工具實時監控您的系統數據，尋找漏洞和異常活動的跡象。

安全響應是Splunk ES的另一個強項，這在處理 DDoS 攻擊時很重要。該系統使用Splunk所謂的自適應響應框架( ARF )，該框架與來自超過 55 家安全供應商的設備集成。所述ARF進行自動響應，加快的手動任務。這會讓你迅速佔上風。再加上一個簡單而整潔的用戶界面，您就有了一個成功的解決方案。其他有趣的功能包括顯示用戶可自定義警報的Notables功能和用於標記惡意活動和防止進一步問題的資產調查器。

Splunk ES是一種企業級產品，因此它具有企業級的價格標籤。由於企業級系統經常出現這種情況，因此您無法從Splunk的網站獲得定價信息。您需要聯繫銷售部門以獲取報價。但儘管價格昂貴，但這是一款出色的產品，您可能希望聯繫Splunk並利用可用的免費試用版。

5. 邁克菲企業安全管理器

McAfee 是 IT 安全領域的另一個家喻戶曉的名字，它可能不需要介紹。然而，它以其病毒防護產品而聞名。在邁克菲企業小號ecurity中號anager不僅僅是軟件。它實際上是一種可以以虛擬或物理形式獲得的設備。

就其分析功能而言，許多人認為McAfee Enterprise Security Manager是最好的 SIEM 工具之一。該系統收集各種設備的日誌。至於它的歸一化能力，也是一流的。關聯引擎可輕鬆編譯不同的數據源，從而更輕鬆地檢測發生的安全事件，這是嘗試防範 DDoS 攻擊等實時事件時的一項重要功能。

然而，McAfee解決方案不僅僅是它的Enterprise Security Manager。要獲得真正完整的 SIEM 解決方案，您還需要Enterprise Log Manager和Event Receiver。好消息是所有三種產品都可以打包在一個設備中，從而使獲取和設置過程更加容易。對於那些可能想在購買前試用該產品的人，可以免費試用。