【云计算网络安全】DDoS 缓解解析：DDoS 攻击缓解策略、选择最佳提供商和关键考虑因素

一、前言

云计算是现代企业运营的重要支柱，但同时也成为了网络攻击者的目标。分布式拒绝服务（DDoS）攻击是一种常见的威胁，它可以使云基础设施和服务陷入瘫痪，对业务造成巨大损害。为了保护云环境的可用性和稳定性，云计算中的DDoS缓解技术应运而生。

DDoS缓解不仅仅是一种防御策略，它代表了一系列复杂的技术和策略，目的是在识别、拦截和分流大规模的攻击流量，从而确保合法用户可以继续访问云服务。这种缓解方法通常依赖于先进的网络分析、自动化反制措施以及弹性基础设施，使其能够应对不断演化的DDoS攻击。

在云计算环境中，DDoS缓解由云服务提供商提供，他们将其作为保护客户云资源的重要服务之一。这些服务采用智能技术，能够实时监控网络流量，快速识别潜在的攻击，并采取适当的措施来抵御攻击。此外，DDoS缓解服务通常允许用户根据其特定需求进行自定义配置，以满足其安全性和性能要求。

二、什么是 DDoS 缓解

DDoS 缓解指的是成功保护目标服务器或网络免受分布式拒绝服务（DDoS）攻击的过程。通过使用专门设计的网络设备或基于云的保护服务，被攻击的受害者能够减轻来自攻击的威胁。

一句话：“DDoS 缓解”是指成功保护目标免受分布式拒绝服务 ( DDoS ) 攻击的过程。

DDoS 缓解的关键点：

• 成功保护目标系统免受 DDoS 攻击的过程。
• 使用网络设备或保护服务来减轻传入的威胁。

三、DDoS 缓解阶段

使用基于云的提供商来缓解 DDoS 攻击时，可以分为 4 个阶段：

检测阶段

检测 - 为阻止分布式攻击，网站需要能够区分攻击流量与大规模正常流量。如果产品发布或其他公告导致网站涌入大批新的合法访问者，那么网站最不希望的就是限制访问者或以其他方式阻止访问者查看网站内容。IP 信誉、常见攻击模式和过往数据均有助于妥善完成检测。

阻止 DDoS 将攻击与大量正常流量区分开来。

响应阶段

响应 - 在此步骤中，DDoS 保护网络将通过智能方式丢弃恶意机器人流量并吸收其余流量，从而对传入的已识别威胁做出响应。利用 WAF 页面规则应对应用程序层（L7）攻击，或者运用其他过滤流程来应对低层（L3/L4）攻击（如 memcached 或 NTP 放大），网络能够缓解中断攻击。

系统通过智能丢弃恶意流量来响应传入的已识别威胁

路由阶段

路由 - 高效 DDoS 缓解解决方案通过智能方式路由流量，将剩余流量分解为可管理的区块，从而防止拒绝服务。

路由流量，将剩余流量分解为可管理的块，防止拒绝服务。

调整阶段
调整 - 卓越的网络可以分析流量总结模式（如重复违规的 IP 阻止），特别是攻击来自某些特定国家/地区或特定协议使用不当时效果尤为显著。通过调整应对攻击模式，保护服务可以加强自身以防范未来攻击。

分析流量的模式，例如重复违规 IP 块和攻击

四、如何选择 DDoS 缓解提供商

传统 DDoS 缓解解决方案需要采购现场设备并过滤传入流量。这种方法需要采购和维护昂贵的设备，而且依赖能够缓解攻击的网络。如果 DDoS 攻击规模足够大，将可以从上游切断网络基础设施，阻止各类现场解决方案生效。如果采购基于云的 DDoS 缓解服务，应对某些特征进行评估。

选择缓解提供商时，必须考虑其他几个关键方面。这些包括：网络容量、处理能力、可扩展性、灵活性和可靠性。

4.1 网络容量

你的DDoS缓解服务需要拥有足够的网络带宽来应对攻击期间产生的大量虚假流量。例如，如果网络的总带宽为 1 Tbps，在考虑正常操作所需的带宽之后，它应该能够有效地抵御 DDoS 流量的冲击。

大多数基于云的缓解服务提供多 Tbps 的网络容量，远远超出任何个人客户可能需要的容量。另一方面，本地 DDoS 缓解设备默认受到组织网络管道大小和内部硬件容量的限制。

主要特征：

• 可用带宽— 以 Gbps 或 Tbps 为单位测量，可用于防御攻击。超过 DDoS 提供商带宽的攻击将会攻击您的服务器。
• 部署模型— 基于云或本地解决方案。基于云的解决方案具有弹性可扩展性，可以防御大容量 DDoS 攻击。

4.2 处理能力

DDoS 缓解策略需要能够快速处理大量数据。DDoS 缓解步骤之一是处理和转发流量。例如，如果攻击以每秒 7500 万个数据包 (Mpps) 的速率传入，而你的 DDoS 缓解计划只能处理 65 Mpps，则某些攻击将到达你的服务器。

主要特征：

• 转发率：以 Mpps 为单位。超过 DDoS 提供商转发速率​​的攻击将会攻击您的服务器。
• 转发技术：DNS 或 BGP 路由。DNS 路由始终开启，可以防御应用层和网络层攻击。BGP 路由几乎可以防御任何攻击，并且可以始终在线或按需激活。

4.3 可扩展性

你的 DDoS 缓解服务需要可扩展，因为攻击规模可能会增加而不是减少。如果你的 DDoS 缓解提供商无法增加其网络或处理能力，那么未来更大规模的攻击可能会渗透到你的服务器。

4.4 灵活性

在防御 DDoS 攻击时，灵活性与抵御勒索软件或病毒威胁同样重要，甚至更重要。即使合法流量存在较大波动，系统也需要能够识别攻击。这需要设置页面规则来区分真实流量和虚假流量，并控制如何缓解攻击。这些规则必须在整个网络中传播。

4.5 可靠性

你的 DDoS 服务就像防火墙一样，需要可靠。当你需要时，它应该随时出现。为了确保可靠的防御系统，你的服务需要有 24 * 7 的监督以及冗余和故障转移解决方案，以便在主要组件发生故障时启动“保险”系统。

需要考虑的特征：

• 正常运行时间保证：五个九 (99.999%) 代表最好的情况。任何低于三个九 (99.9%) 的值都是不可接受的。
• 保护级别：如本文所述，提供商的 SLA 应定义其涵盖的攻击类型、规模和持续时间。
• 支持服务级别：SLA 应详细说明提供商对支持问题的响应时间。这些通常是根据问题的严重性级别来定义的。

4.6 其他考虑因素

个人觉得除了上述大家都比较认可的选择缓解提供商衡量标准外，一些比较重要的因素也需要考虑。

4.6.1 定价

DDoS 缓解服务的定价范围一般会从即用即付到固定月费都有。

纯粹的“现收现付”定价：这可能很有吸引力，因为如果您不受到攻击，则无需支付任何费用。但如果发生攻击，您可能会因用于缓解攻击的云资源而产生大量费用。您可能需要为这些资源申请退款，因此提前了解在什么情况下会提供退款非常重要。

根据攻击量按需付费：基于累积攻击带宽（例如，50 Gbps/月）或累积攻击小时数（例如，12 小时/月）定价。由于 DDoS 攻击可能持续数小时或数天（有时甚至数周），因此此类成本可能很快就会失控。

基于服务的定价： 一些企业产品包括 DDoS 保护的基本价格，以及实施、配置等服务的特殊定价。虽然这些服务对您的组织可能很有价值，但请注意它们是 DDoS 成本的一部分缓解解决方案，并应计入您的总拥有成本。

简单的固定月费：这是长期协议的首选。确保固定费用涵盖所有相关攻击的全部费用。

比较价格时要考虑的其他因素：不同的提供商在不同的清理中心具有不同的容量，并且所有清理中心的净容量可能无法很好地反映您感兴趣的地理位置（您的数据中心所在的位置）中的清理中心攻击缓解能力。
缓解措施提供商的服务级别协议 (SLA) 是另一个重要的考虑因素，有时比价格更重要。

4.6.2 所专注的方向

"通才还是专家？DDoS 缓解市场包含了各种技术、服务和提供商。

专注于安全的专业公司提供更先进的解决方案，通常由专家团队组成，他们致力于持续的安全研究，并全天候监控新的攻击向量。

而ISP和托管提供商等多面手则将缓解服务作为其核心服务的补充，主要以向现有客户提供额外销售为目的。

虽然多面手提供的缓解服务可能足以应对小型、简单的攻击，但如果你的在线应用程序对日常业务运营至关重要，那么专业的 DDoS 保护提供商是你组织最佳且风险最低的选择。

此外，在选择安全供应商时，你还应考虑他们的其他安全产品。全面的提供商不仅提供 DDoS 缓解，还提供应用程序安全、数据安全和网络保护等其他安全解决方案。选择一个集成了附加安全功能的 DDoS 产品，可以为你的组织提供全面的安全解决方案。"

文末送书《数据要素安全流通》

今天博主推荐的是：国内首本“数据要素安全流通”主题的著作 --《数据要素安全流通》

• 参与方式：关注博主，评论区留言即可参与

• 送出数量：暂定送出 1~3 本给粉丝

京东官方购买链接：https://item.jd.com/14169708.html

随着大数据、云计算、人工智能等新兴技术的迅猛发展，数据已经成为我国经济社会发展的五大生产要素之一，《网络安全法》《个人信息保护法》《数据安全法》的先后出台为维护国家安全、保护公民个人信息、规范网络行为以及促进数据经济发展奠定了法律基础，2022年底，中共中央、国务院颁布“数据二十条”，为加快构建数据基础制度，激活数据要素潜能，促进数据要素市场繁荣，构筑国家竞争新优势指明了发展方向。如何在保障数据安全和个人隐私的前提下，充分发挥数据要素的价值，成为摆在我们面前的一项重要课题。

为此，由国家工业信息安全发展研究中心指导，华东江苏大数据交易中心、贵州赛昇工业信息研究院、深圳国家金融科技测评中心、数据宝ChinaDataPay、南京航空航天大学共同组编，来自40多家企业、高校或组织的100多位专家参编的《数据要素安全流通》一书现已由机械工业出版社正式出版面市。

本书编撰背景

这是一本从背景、技术、产业、政策等多个维度深度解读如何实现数据要素安全流通的专业指导性书籍，也是一本理论和实践兼备的工具书，书中以数据要素安全流通为主线，结合政策和现状，从数据流通机制、数据安全流通的难点与挑战、数据安全流通的未来趋势和发展等方面出发，对数据要素安全流通进行了深度分析和阐述，同时囊括了数据可信确权、数据资产化、数据安全保障三大领域技术方案；此外，还从核心业务、基础支撑、服务咨询三个维度划分数据要素安全流通的产业生态链，汇聚了通信、金融、政务、能源、工业等6大领域40余个数据要素流通特色解决方案及实践案例。

当前数据要素流通交易过程中仍存在不同程度的数据安全问题，数据安全事件时有发生。随着《网络安全法》《个人信息保护法》《数据安全法》等相关法律的先后出台，数据安全的重要性得到了前所未有的提升，同时数据要素安全流通产业的发展加速，数据确权、数据流通交易、数据资产化等流通环节中新技术的应用涌现及落地，使数据要素如何安全、合规流通成为重要课题。基于此，华东江苏大数据交易中心于2022年5月项目正式启动《数据要素安全流通白皮书》项目。

《数据要素安全流通白皮书》项目历时近一年，为了推进《数据要素安全流通白皮书》项目进程，优化白皮书的内容，华东江苏大数据交易中心共组织了40+场闭门研讨会、14场公开讨论会、13场线上/线下沙龙 ，累计上千家行业参与，吸引10000余位行业人士关注，经过多方努力，《数据要素安全流通白皮书》在第三届数字经济科技大会上正式发布，最终由机械工业出版社进一步编辑及出版发行成书。

本书亮点

• 国内首本“数据要素安全流通”主题的著作

• 基于数据要素安全流通，囊括了数据可信确权、数据资产化、数据安全保障三大领域技术方案。

• 从核心产业、基础设施、咨询服务三大维度划分数据要素安全流通产业生态链。

• 汇聚电信、金融、政务、医疗等7大领域40+特色场景数据要素安全流通解决方案及实践案例。

• 来自国家工业信息安全发展研究中心、中科院、公共大数据国家重点实验室、南京航空航天大学、国金测评、腾讯等单位10余位权威专家指导。

• 来自40余家高校、科研机构、企业参与编撰，参编人员超过百人，上千家企业学者联袂编撰。

本书主要内容

《数据要素安全流通》共分以下11个章节，分别从时代背景、相关概念、行业发展现状、核心技术、产业生态链、场景案例、产业挑战、未来趋势和发展对策等多个角度进行了深入研究。

数据安全流通的时代背景

本章主要从数据主权、政策法规、市场需求、技术支撑四个维度介绍数据要素安全流通的时代背景，探究数据要素流通的内外核心驱动力。

数据安全流通相关概念

数据要素化、资源化等的基本概念。分析数据流通的开放、共享、交易三种类型，流通的主要参与主体和形态，实施的效果和未来趋势。围绕确权、定价、安全、机制等方面，深入分析构建数据安全流通的体系架构。

数据流通行业发展现状

从全球角度，分国外、国内，分别梳理并分析国家战略和政策法规与标准、技术研发及成熟度、市场发展及成熟度等方面介绍整个行业的现状。以附录的形式汇编国外、国内（详细）涉及数据流通的政策法规与标准。

数据可信确权技术

讨论数据可信确权技术如何真实记录不同主体参与不同数据活动的事实过程作为法规和制度建立后可践行的基础，以及如何通过技术的手段解决数据在流转过程中易被复制导致权属边界模糊的问题。

数据资产化技术

数据资源资产化定价、权益分配等核心技术的概述、现有方案、对比等。资产化定价、数据质量提升。

数据安全保障技术

从安全治理、安全计算、安全共享、安全追溯、安全检测等环节分析安全保障技术。

数据流通机制技术

从数据流通的机制、行业监管机制、行业合规化机制等方面进行流通的机制进行探讨，交易机构、交易平台的互联互通、交易1.0、2.0的关系与区别。

全国数据流通产业生态链

从核心业务、基础支撑及服务咨询三个维度进行全面介绍数据要素流通产业。梳理出数据要素流通的产业链构成，并以附录的形式构建数据流通产业生态链图谱。

数据安全流通场景及案例

主要分为数据开放、数据共享、数据交易、数据跨境流通四个不同场景，从方案、商业模式、技术落地、支持合规性等方面针对问题、需求等方面展开。

数据安全流通产业的挑战

总结分析出我国面临的国际挑战、国内需求、未来发展趋势以及在数据安全流通领域存在的挑战。

数据安全流通的未来趋势和发展对策

围绕产业发展，凝练数据安全流通领域的未来趋势，并针对总结的各类挑战和趋势，对国家、对行业、对个人等各个层面提出能够促进数据安全流通行业繁荣发展、有序发展、健康发展的建议对策。

《数据要素安全流通》一书是持续深耕数据要素市场8年的华东江苏大数据交易中心为中国数据要素市场的发展壮大所贡献的绵薄之力，希望能为数据要素市场相关政策法规、标准规范的制定及企业实践等提供有益的参考和启示。

[ 本文作者 ]   bluetata
[ 原文链接 ]   https://bluetata.blog.csdn.net/article/details/133614938
[ 最后更新 ]   10/06/2023 20:02
[ 版权声明 ]   如果您在非 CSDN 网站内看到这一行，
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章，
可能导致内容不完整，请去上述的原文链接查看原文。