白皮書白皮書Akamai1111個(gè)根深蒂固的Akamai近年來(lái)，分布式拒絕服務(wù)(DDoS)攻擊的程度、規(guī)模紀(jì)錄的攻擊中便可一見(jiàn)端倪。遺憾的是，很多企業(yè)在如何自我防御方面的想法，認(rèn)為他們的防御措施已經(jīng)足夠，或者更糟糕的是認(rèn)為他們不標(biāo)。而真相是：這些攻擊的受害者遍布從金融服務(wù)、電子商務(wù)到游戲的所有主際上，對(duì)醫(yī)療保健、能源和公共事業(yè)、教育以及交通等關(guān)鍵公共基礎(chǔ)(Gbps)的大規(guī)模攻擊。同年晚些時(shí)候，Akamai阻止了一次634Gbps、每秒5500萬(wàn)個(gè)數(shù)385Mpps的全球分布式攻擊，持續(xù)了將近兩個(gè)小時(shí)。這些事件清楚地表明，網(wǎng)絡(luò)犯罪分事實(shí)是，各行各業(yè)中的關(guān)鍵業(yè)務(wù)服務(wù)和應(yīng)用程序都很容易成為目標(biāo)。動(dòng)機(jī)的黑客崛起，以及Killnet和AnonymousSudan等網(wǎng)絡(luò)犯罪分子團(tuán)伙提供的DDoS服務(wù)成本相對(duì)較低，這使得幾乎每個(gè)人都可能成為目標(biāo)。眾多企業(yè)需要初的攻擊。DDoS攻擊正越來(lái)越多地被用作煙幕彈來(lái)分擊者會(huì)嘗試同時(shí)發(fā)起勒索軟件DDoS攻擊(RDDoS)或三重勒索活動(dòng)等其他惡意攻擊。最后，令人擔(dān)憂的是，攻擊者越來(lái)越多地采用攻擊，使得企業(yè)及公共機(jī)構(gòu)一方面要確保一致的可用性和性能，一方|2Akamai雖然總?cè)萘亢苤匾?，但在忽略重要?xì)節(jié)的情?有多少網(wǎng)絡(luò)和系統(tǒng)資源可用于向該平臺(tái)上這些問(wèn)題都至關(guān)重要，因?yàn)槿绻W(wǎng)絡(luò)總?cè)萘恐邪糜跐M足其他需求（例否會(huì)有專門的人力資源來(lái)進(jìn)行升級(jí)、事件響應(yīng)和微調(diào)抵御措施？最強(qiáng)大的抵御深入了解提供商的總網(wǎng)絡(luò)容量與平臺(tái)穩(wěn)定性之間的差異，于抵御攻擊和交付干凈流量。這些容量應(yīng)被視為劃分和提供專門的容量，如網(wǎng)絡(luò)路由攻擊流量、|3Akamai互聯(lián)網(wǎng)服務(wù)提供商和/或云服務(wù)提供商提供的遺憾的是，很多企業(yè)仍然認(rèn)為其互聯(lián)網(wǎng)服務(wù)提供商(ISP)提供的防護(hù)措施能夠滿足所有抵御需求。而真相是：ISP通常僅提供經(jīng)過(guò)重組、現(xiàn)成且?guī)捰邢薜纳逃肈DoS防護(hù)措施。他們自己的基礎(chǔ)架構(gòu)與您的基礎(chǔ)架構(gòu)一起共享他們的硬件限制。如今的DDoS攻擊規(guī)模之大會(huì)讓這兩種基礎(chǔ)架構(gòu)都不堪重負(fù)，而ISP會(huì)對(duì)您的流量進(jìn)行空路由（或黑洞路由），以防止對(duì)其他生產(chǎn)資源造成附帶損害。通過(guò)對(duì)黑洞路由，企業(yè)會(huì)失去來(lái)自最終用戶的合法流量和服務(wù)，導(dǎo)致業(yè)務(wù)在實(shí)際上此外，雖然云服務(wù)提供商(CSP)通常允許客戶在CSP的云環(huán)境內(nèi)設(shè)置自己的控制措施并保持對(duì)其安全態(tài)勢(shì)的主權(quán)，但大多數(shù)CSP本身通常會(huì)拒絕承擔(dān)任何責(zé)任，并最終向客戶收取仔細(xì)查看DDoS防護(hù)條款并就這些條款與您的ISP或CSP進(jìn)行協(xié)商。此外，確定您的ISP是否將強(qiáng)大的本地DDoS防護(hù)硬件與云端備份相結(jié)合，從|4||5Akamai所有抵御時(shí)間SLA都是一樣的有時(shí)數(shù)字可能會(huì)讓人產(chǎn)生誤解。抵御時(shí)間(TTM)是安全供應(yīng)商經(jīng)常推銷的一個(gè)數(shù)字。TTM除非它至少持續(xù)五分鐘。因此，SLA計(jì)時(shí)器可能在您已遭受攻擊后才會(huì)啟動(dòng)。由于平均攻擊持續(xù)時(shí)間不到五分鐘，因此您便可以看出問(wèn)題出在哪里：這意味著，宣傳的10秒其他一些供應(yīng)商則將緩解時(shí)間定義為部署緩解措施規(guī)則所需的響擊的時(shí)間，也不反映控制措施的激活質(zhì)量或一致性。歸根結(jié)底，您關(guān)請(qǐng)務(wù)必仔細(xì)閱讀供應(yīng)商SLA的詳細(xì)說(shuō)明。深入研究SLA中所列緩解措施的時(shí)間細(xì)節(jié)。具體算法應(yīng)如下所示：重要的真Akamai空路由/黑洞路由及速率限制是可接受的防御措施如果某項(xiàng)資產(chǎn)受到攻擊并且該攻擊容量使其他客戶或服務(wù)面臨風(fēng)險(xiǎn)，將該資源的流量丟入虛擬黑洞中來(lái)防止附帶損害。但這真的有用嗎？吸入黑洞意味著任務(wù)完成，即致使目標(biāo)資產(chǎn)有效離線。其他客戶可能很多安全提供商可能還會(huì)提供另一項(xiàng)初步的流量設(shè)置速率限制。但為了讓客戶感覺(jué)到資產(chǎn)或服務(wù)仍在運(yùn)行而減少20%到40%的合法擊時(shí)，速率限制作為二級(jí)或三級(jí)對(duì)策是有效為初步控制措施會(huì)更有效，但您應(yīng)當(dāng)始終首先開(kāi)放系統(tǒng)互聯(lián)模型的哪一層，您都應(yīng)該讓自己的數(shù)字基礎(chǔ)架構(gòu)100%受到有效保護(hù)而免受DDoS攻擊，絕不能只有不超過(guò)60詢問(wèn)提供商平時(shí)或在受到攻擊時(shí)，對(duì)流量進(jìn)行黑洞路何。弄清楚提供商何時(shí)（在何種情況下）會(huì)對(duì)流量進(jìn)行黑洞路|6Akamai所有企業(yè)都需要安全保障。即便是經(jīng)常受到攻擊的爭(zhēng)議型企業(yè)（如賭博灰色產(chǎn)業(yè)）也需要DDoS安全防御措您很容易認(rèn)為這些網(wǎng)站對(duì)您來(lái)說(shuō)不重要。但如果您的企業(yè)與非法企業(yè)或業(yè)共享云平臺(tái)，則遭遇附帶損害的可能性會(huì)大大提高。供仔細(xì)研讀云安全供應(yīng)商可接受的使用政策，確保您不會(huì)跟高|7Akamai些基本的網(wǎng)絡(luò)層（第3層）或傳輸層（第4層）防護(hù)，但這DDoS攻擊有多種類型和形式，能夠以基礎(chǔ)設(shè)施層（第3層和第4層）、HTTP(s)應(yīng)用層（第7層）以及DNS基礎(chǔ)架構(gòu)為策略采用具有特定優(yōu)勢(shì)和能力的強(qiáng)大解決方案平臺(tái)提供保護(hù)。任何一種解決方案本身都無(wú)法始終覆蓋所有陣地，并且可能防護(hù)功能來(lái)維持互操作性，并由統(tǒng)一的快速響應(yīng)安全服務(wù)團(tuán)您的生產(chǎn)資源。當(dāng)這些資產(chǎn)在混合網(wǎng)絡(luò)和云托管環(huán)境中部署|8Akamai一些提供商在單云平臺(tái)上提供各種服務(wù)。這可能會(huì)在短的技術(shù)復(fù)雜性，但如果環(huán)境的其他部分遭遇中斷，則共享同一后端基礎(chǔ)架服務(wù)很容易受到平臺(tái)中斷、附帶損害和恢復(fù)能力問(wèn)題的影響。通常，由于和安全挑戰(zhàn)，這意味著能夠提供更高質(zhì)量的抵御措施并大規(guī)模提請(qǐng)記住，不必為實(shí)現(xiàn)統(tǒng)一的安全體驗(yàn)而共享同一基礎(chǔ)|9akamaicomakamaicom10AkamaiIPv6不需要DDoS防護(hù)根據(jù)Google的數(shù)據(jù)，大約45%的互聯(lián)網(wǎng)流量來(lái)自于支持IPv6的設(shè)備。在DDoS攻擊方面，IPv6相比IPv4有了一些改進(jìn)，例如更大的地址空間和IPsec等內(nèi)置安全功能，但它DDoS攻擊能夠同時(shí)以IPv4和IPv6網(wǎng)絡(luò)為攻擊目標(biāo)，通過(guò)利用大量流量讓這兩種網(wǎng)絡(luò)不堪重負(fù)、利用漏洞或使用與IP版本網(wǎng)關(guān)的各種攻擊媒介即可實(shí)現(xiàn)。網(wǎng)絡(luò)犯罪分子已經(jīng)在利用IPv6大幅擴(kuò)展的IP空間來(lái)發(fā)動(dòng)更大規(guī)模的容量耗盡型DDoS攻擊。在某些情況下，攻擊者向網(wǎng)絡(luò)中的隨機(jī)地址發(fā)送流量，不僅可以在物理網(wǎng)絡(luò)層上引發(fā)針對(duì)IPv6的DDoS防護(hù)需要與IPv4類似的策略和技術(shù)，包括網(wǎng)絡(luò)監(jiān)控、流量Akamai措施通過(guò)構(gòu)建多個(gè)安全層來(lái)實(shí)現(xiàn)，這些安全層能夠無(wú)縫協(xié)作來(lái)阻止攻防護(hù)措施。此外，也需要利用類似的分層策略能夠在網(wǎng)絡(luò)邊緣動(dòng)態(tài)實(shí)施安全策略的代理服務(wù)保護(hù)自己的所有應(yīng)用程序和API。將各具特色、各有所長(zhǎng)的最佳技術(shù)和解決方案層層疊加，|11Akamai的。最重要的是，當(dāng)您的資產(chǎn)受到攻擊時(shí)，?提供商是否有接受了抵御措施培訓(xùn)的安全專檢測(cè)和緩解措施之外，確定對(duì)方是否還提供集成和測(cè)試、事|12Akamai有些供應(yīng)商提供較低的標(biāo)價(jià)，但對(duì)其能夠防御的攻擊數(shù)量或規(guī)模會(huì)有過(guò)多或過(guò)大規(guī)模的攻擊，對(duì)方會(huì)要求您升級(jí)到更高（且更昂貴）間無(wú)縫切換，從而在提供一流防護(hù)能力的同時(shí)保持較低的運(yùn)營(yíng)成|13有效的措施可能今天或明天就不再有效。與最終用戶、客戶和員工保持互得成功的基礎(chǔ)。這里沒(méi)有犯錯(cuò)的余地，也沒(méi)昂成本。作為全面、靈活且值得信賴的DDoS防護(hù)平臺(tái)，Akamai將傾力為您提供全方位詳細(xì)了解AkamaiDDoS安全解決方案。AkamaiAkamaiSecurity可為推動(dòng)業(yè)務(wù)發(fā)展的應(yīng)用程序提供全