针对小型到企业网站的12大基于云的DDoS保护

不要让DDoS攻击因声誉和经济损失而中断您的业务运营。使用基于云的拒绝服务保护来防止被黑客入侵。任何有恶意的人都可以聘请黑客服务进行有针对性的攻击。恶意软件工具易于访问、易于使用且有效。不仅是大公司，网络犯罪分子也在寻找任何规模的易受攻击的受害者，包括个人博客、电子商务商店、中小型企业。

一种类型的攻击特别危险并且越来越普遍。它被称为分布式拒绝服务攻击，简称DDoS。在DDoS攻击中，一组受损的分布式系统——可能是服务器、家用计算机、物联网设备、任何连接到互联网的设备——被用来用大量请求压倒目标系统，直到受攻击的系统会饱和到足以拒绝工作。

由于洪水来自许多分散的来源，因此很难识别攻击者或减轻攻击。DDoS攻击是不可预测的，一些最新的攻击非常危险。它在800到900Gbps的范围内。攻击者可以使用多种技术对您的在线业务进行DDoS攻击。以下是一些受欢迎的。

• UDP片段
• DNS、NTP、UDP、SYN、SSPD、ACK泛洪
• 电荷攻击
• TCP异常

攻击的原因可能有很多。首先，受害者是精心挑选的；他们永远不会随机选择。也许竞争对手想把你踢出去，或者有人非常不喜欢你发布的内容——任何借口都足以让某人投资数百美元来攻击你的网站。

如何防范DDoS攻击？

如果您拥有一家拥有同样小型网站的小型企业，或者您经营博客或个人网站，那么您需要采取措施避免成为DDoS攻击的受害者。一种选择是聘请MSSP（托管安全服务提供商）来处理所有可能的网络威胁。这包括入侵检测、漏洞扫描、抗病毒服务以及提供防火墙和VPN技术等服务。一个好的MSSP会让您高枕无忧，但成本可能很高。如果您已经涵盖了大部分安全基础并且您只需要保护您的站点免受DDoS攻击，您可以从您的ISP或托管服务提供商处租用DDoS保护即服务(DPaaS)。

如果您更喜欢DIY风格的解决方案，首先要实施的是DDoS的检测和缓解。要检测DDoS攻击，您需要监控网站的传入流量，并寻找任何可能暗示该过程中存在攻击的模式。流量突然激增可能是一个信号，但您需要确定激增是合法用户流量激增还是DDoS攻击的征兆，这并不总是一件容易的事。

一旦检测到真正的DDoS攻击，您就可以识别发送非法流量的IP地址，并在托管服务提供商或流量过滤设备（如路由器或防火墙）的帮助下阻止它们。听起来很容易，对吧？好吧，如果您考虑到典型的DDoS攻击每秒涉及数百万个数据包，您可以得出结论，DIY选项不可行，您应该聘请负担得起的基于云的DDoS保护服务。

DDoS保护服务如何工作？

一个有效的反DDoS解决方案必须兼顾以下任务：检测、转移、过滤和分析。检测意味着识别可能预示DDoS攻击的流量偏差。一个有效的反DDoS解决方案应该能够尽快识别攻击，避免误报。

转移意味着将流量重新路由出去，要么丢弃它，要么被过滤掉。通过过滤，我们的意思是清除DDoS流量，将其识别为恶意流量。一个有效的反DDoS解决方案可以做到这一点，而不会影响您的合法用户的体验。最后，分析是审查流量日志以收集有关攻击的信息，以识别攻击者并增强未来的检测活动。

当您需要比较抗DDoS解决方案时，网络容量是需要考虑的重要因素。它以Gbps（千兆位/秒）或Tbps（兆位/秒）为单位，表示保护可以承受的攻击强度。基于云的解决方案通常提供每秒TB数量级的网络容量。这比任何网站可能需要的要多得多。

服务水平的其他重要衡量标准是转发率和缓解时间。转发速率代表解决方案处理数据包的能力，以每秒数百万个数据包(Mpps)为单位。攻击通常达到300-500Gbps，有些可以扩展到1Tbps。防DDoS解决方案的处理能力需要高于此才能有效。

缓解时间因解决方案提供商检测攻击所采用的方法而异。具有先发制人检测功能的始终在线解决方案应该能够提供几乎即时的缓解。但这方面需要在现实生活条件下在现场进行测试。显然，所有这些考虑都必须与成本进行权衡。让我们来看看一些可用的基于云的最佳DDoS检测和保护解决方案。

1、Akamai

KonaDDoSDefender是Akamai为阻止DDoS攻击威胁而提供的基于云的解决方案的名称。它将安全运营中心(SOC)的不间断服务与Akamai的智能平台相结合，提供高可扩展性并保证网站的持续运行，即使在发生攻击时也是如此。

Akamai的智能平台分布在世界各地，能够处理全球总Web流量的15%到30%。它提供了必要的可扩展性以应对最大规模的DDoS攻击。当攻击发生时，KonaDDoSDefender会自动转移SYN或UDP洪水并吸收网络外围的HTTPGET和POST洪水，防止它们到达核心应用程序。

2、G-Core实验室

G-CoreLabs的全球DDoS防护服务功能强大，可保护您的站点、服务器和应用程序免受高级DDoS攻击。它在三层提供保护——网络层(L3)、传输层(L4)和应用层(L7)。

独特的实时智能流量过滤技术使G-CoreLabsDDoS防护能够一次性分析统计、签名、技术和行为因素。这使得该解决方案能够准确地检测和切断有害会话，而不是阻止IP地址。

您将获得实时机器人保护，以防止广告欺诈、解析和个人数据盗窃。它们还将保护您免受漏洞利用尝试和手动黑客攻击您的网站，而无需使用任何第三方SDK或修改您的应用程序代码。该云平台在欧洲、北美、南美、亚洲和澳大利亚设有流量过滤系统，每个节点提供最低160Gbps的流量，总有效过滤带宽为1.5+Tbps。

G-CoreLabs提供安全工具，例如针对每个查询的技术分析、实时资源分析、行为因素识别、查询验证等。它还支持HTTPS，从不泄露您的SSL证书，误报率低于0.01%。Сompany提供99.9%的SLA。您还将获得负载平衡和24/7技术支持。

3、AppTrana

AppTrana针对已识别的漏洞提供即时保护，并确保针对DDoS和新兴安全威胁提供全天候保护。

• 基础设施保护（第3层和第4层）。
• 网站保护（第7层）
• 完全托管的DDoS保护，具有24×7监控和安全专家根据现场发现的警报和漏洞风险实时无限制的自定义规则更新，以确保网站的可用性。

AppTrana的GlobalThreatIntelligence平台可确保持续、准确和最新的保护，以防御最新的威胁。AppTrana高级和高级计划中提供AppTranaDDoS保护。您可以通过试用计划上手，享受应用扫描、Web应用防火墙、CDN等服务。入职只需几分钟即可完成，过渡期间停机时间为零。

4、Link11

Link11是领先的IT安全提供商，专注于为网站和IT基础设施提供DDoS保护。由于人工智能的复杂使用，基于云的保护解决方案始终保证可用性。

该公司同时提供两种针对分布式拒绝服务(DDoS)攻击的解决方案，其获得专利的360度保护可以保护关键网络基础设施或防御Web应用程序攻击。

已知载体的攻击缓解时间为零，未知载体的缓解时间不到10秒。该解决方案不仅在攻击持续时间方面提供了无限的保护，而且它还完全自动运行并作为一项永久服务来消除人为错误。

此外，Link11运营自己的国际服务和24/7热线，即使在紧急情况下也可以为客户提供简单快捷的设置。Link11安全运营中心(LSOC)定期发布与DDoS威胁形势中的新风险和趋势相关的报告。

5、Sucuri

Sucuri提供DDoS缓解服务，可自动检测并阻止非法请求和流量。Sucuri服务由基于云的网络提供支持，该网络能够减轻对Web应用程序或大型网络的攻击。借助机器学习技术并通过关联其全球网络中的数据，Sucuri能够保护网站免受尚未发现的安全威胁。

DDoS缓解服务是一体化网站安全平台的一部分，其中包括恶意软件清除、黑客清理、黑名单监控和防火墙等。它的三个计划提供不同级别的服务，从基本到企业，价格从每年199.99美元到每年499.99美元不等。

6、Arbor

通过其Arbor威胁缓解系统(TMS)和可用性保护系统(APS)，Netscout提供了与其ArborSightline解决方案结合使用的产品套件，可从客户的网络中移除高达140Tbps的DDoS攻击流量，而不会中断的核心网络服务。它适用于IPv4或IPv6基础设施，能够通过移动应用程序阻止DDoS攻击，保护移动网络的性能和可用性。

ArborAPS提供了许多部署选项，包括本地设备、虚拟化解决方案和托管服务。该解决方案提供了主动缓解功能，可以在已知和新出现的威胁影响应用程序可用性之前阻止它们，这要归功于其自己的Atlas基础设施，该基础设施可以监视所有互联网流量的⅓。

7、Cloudflare

Cloudflare始终在线的DDoS防护解决方案基于其不断学习的全球网络的智能。该网络称为Anycast，跨越190多个城市，所有安全服务堆栈都在每个存在点运行。此基础架构允许Cloudflare提供分层安全方法，将许多DDoS功能（第3/4/7层、DNS放大/反射、SMURF、ACK等）整合到单个服务中。

从用户的角度来看，可以通过直观的界面控制DDoS解决方案，让您只需单击几下即可快速保护在线资产。Cloudflare定价计划涵盖了无限制的缓解措施，无论攻击的规模如何，都不会因尖峰而受到惩罚，也不会产生额外或隐藏的成本。

8、StackPath

StackPath使用的DDoS缓解技术涵盖所有攻击方法：UDP、SYN和HTTP洪水，以及所有层：第3/4层（网络）和第7层（应用程序）。65Tbps的总网络容量保证了StackPath全球网络可以抵御最大规模的DDoS攻击，最大限度地减少对受到攻击的在线服务的影响。

StackPath客户门户提供实时数据和见解，允许用户分析攻击者的作案手法并即时创建策略。高级用户还可以通过控制面板调整DDoS阈值设置，以使保护适应特定需求。DDoS保护是StackPath提供的广泛边缘服务组合的一部分，其中包括边缘计算、边缘交付和边缘监控。

9、阿里巴巴

阿里巴巴的Anti-DDoSPro可以缓解高达10Tbps的大容量攻击，并支持所有协议TCP/UDP/HTTP/HTTPS。您不仅可以使用Anti-DDoS来保护托管在阿里巴巴上，还可以保护托管在AWS、Azure、GoogleCloud等上。如果您的应用程序托管在中国，那么可以提供安全保护的CBSP很少，而阿里巴巴是其中之一。

这不仅仅是为了降低风险，阿里巴巴Anti-DDoS解决方案可以帮助追踪攻击的来源。费用基于使用情况，您可以完全控制为您的业务定制策略以降低成本。

10、AWS盾牌

Amazon提供称为AWSShield的DDoS保护服务，专门用于AWS上托管的应用程序。保护服务提供始终在线检测和在线自动缓解，无需AWSSupport即可使用。

Amazon在两种服务计划中提供AWSShield：标准和高级。AWSShieldStandard可供所有AWS客户免费使用。它可以防止最常见的DDoS攻击，这些攻击通常发生在网络堆栈的第3层或第4层。高级版提供复杂的大规模DDoS攻击的检测和缓解，以及实时可视化和AWSWAF（一种用于Web应用程序的防火墙）。AWSShieldAdvanced还提供对AWSDDoS响应团队(DRT)的不间断访问和针对DDoS峰值的保护。

11、GoogleCloud

如果您在GoogleCloud上托管应用程序，请尝试CloudArmor。唯一的限制是它仅适用于GoogleCloudHTTP(s)负载平衡器。您将从Google体验中受益，以保护他们的服务，例如Gmail、YouTube、搜索等。CloudArmor的一些好处包括：

• 针对基础设施和应用程序的保护
• 创建自定义规则
• 基于IP和地理的访问控制
• 强大的Stackdriver日志记录

12、Incapsula

Incapsula提供全面的保护，以缓解来自第3、4和7层的任何类型的DDoS攻击。

• TCPSYN+ACK、FIN、RESET、ACK、ACK+PSH、分片
• UDP
• 懒猴
• 欺骗
• ICMP
• IGCP
• HTTP、连接、DNS泛洪
• 蛮力
• NX域
• 死亡之平
• 以及更多…

它可以始终在线或按需提供，以检测和缓解所有攻击。Incapsula网络由44个数据中心组成，容量超过6Tbps。如果您受到攻击并需要紧急支持以在几分钟内将风险降至最低，那么您可以联系“受到攻击”团队。

最后的话

如果您附近的所有房屋都有警报器，那么您的房屋也应该有一个，否则它将成为窃贼的首选目标。这同样适用于您的网站或Web应用程序：您不希望它成为少数没有DDoS保护的网站之一，否则它可能很快就会受到攻击。如果您希望您的在线业务长期保持活力和活力，针对DDoS的解决方案是一项合理且必要的投资。