企业预防DDoS攻击的最佳做法

　　分布式分布式拒绝服务(DDoS)攻击对当今的公司构成了重大威胁。每年，随着黑客开发出新方法来威胁数百万人所依赖的网络系统，这些攻击变得越来越复杂和严峻。

　　企业组织投资各种形式的DDoS缓解措施，以防止拒绝服务攻击。

　　1.增加网络带宽

　　由于DDoS攻击从根本上根据流量大的系统压倒性原理进行操作，因此只需提供额外的带宽来处理意外的流量高峰可以提供一种保护措施。

　　这些攻击正变得越来越大，越来越复杂，并且如果没有其他DDoS缓解措施，则没有任何带宽能够承受超过1 Tbps的攻击。提供可爆发的带宽仍可以帮助缓解攻击的影响，从而提供采取行动应对攻击所需的额外时间。

　　2. 检测和数据包监视

　　IT安全团队可以通过多种方式来监视传入流量并确定对于防止DDoS攻击至关重要的预警信号。大多数路由器都支持某种类型的流采样，该流采样会检查传入数据包的样本，以创建网络流量趋势的大规模图像。

　　由于流量采样一次只查看一小部分流量，因此它可能会错过潜在的破坏性趋势或出现“误报”。流分析设备可以更好地了解数据流量，并且通常与其他DDoS缓解解决方案结合使用以重定向标记为异常的流量。路径内部署缓解设备是最有效的监视方法，可以连续处理所有传入和传出流量。

　　3.管理和阻止恶意流量

　　预防DDoS攻击的第一个策略通常是通过“空路由”流量阻止恶意数据包到达服务器，该流量会在僵尸网络的指导下丢弃和重定向大量的请求。

　　经过DDoS优化的防火墙还可以识别不完整的连接，并在达到特定阈值时将其从系统中清除。还可以限制路由器的速率，以帮助防止服务器不堪重负。在某些情况下，所有流量都被转移到“清理器”，以更彻底地分类来自恶意请求的合法请求。

　　4.建立基础架构冗余

　　随着DDoS攻击变得越来越大和越来越复杂，IT安全工作将更多的精力集中在备份和冗余上，而在预防方面。

　　冗余可以让组织扩展其基础架构的容量以使其更具弹性，而不是直面攻击。冗余还可以更轻松地主动应对攻击，因为可以切断流量并更有效地重新路由。

　　5.整合ISP冗余

　　依靠单个互联网服务提供商(ISP)可能会使公司容易受到DDoS攻击，因为任何破坏提供商系统的攻击都可能导致所有连接的系统停机。

　　借助提供ISP冗余的混合Internet服务，使它们在发生DDoS攻击时可以根据需要在不同的提供商之间进行切换。一旦攻击开始，混合的ISP解决方案就可以检测到发生了什么并重新路由流量，以防止持久损坏并防止停机。

　　6.利用数据中心阻止攻击

　　数据中心可以为组织提供多种工具来抵御DDoS攻击。由于它们具有更大的带宽容量和更安全的路由器来管理传入流量，因此与典型的本地IT解决方案相比，数据中心安全性更好地承受了淹没其基础架构的企图。

　　借助混合的ISP连接，这些连接提供了多层冗余，并通过预测分析提供了实时监控，并由远程服务进行了备份，数据中心拥有应对最新DDoS攻击策略所需的资源。