【云计算网络安全】DDoS 缓解解析:DDoS 攻击缓解策略、选择最佳提供商和关键考虑因素

在这里插入图片描述

文章目录

    • 一、前言
    • 二、什么是 DDoS 缓解
    • 三、DDoS 缓解阶段
    • 四、如何选择 DDoS 缓解提供商
      • 4.1 网络容量
      • 4.2 处理能力
      • 4.3 可扩展性
      • 4.4 灵活性
      • 4.5 可靠性
      • 4.6 其他考虑因素
        • 4.6.1 定价
        • 4.6.2 所专注的方向
    • 文末送书《数据要素安全流通》
      • 本书编撰背景
      • 本书亮点
      • 本书主要内容

一、前言

云计算是现代企业运营的重要支柱,但同时也成为了网络攻击者的目标。分布式拒绝服务(DDoS)攻击是一种常见的威胁,它可以使云基础设施和服务陷入瘫痪,对业务造成巨大损害。为了保护云环境的可用性和稳定性,云计算中的DDoS缓解技术应运而生。

DDoS缓解不仅仅是一种防御策略,它代表了一系列复杂的技术和策略,目的是在识别、拦截和分流大规模的攻击流量,从而确保合法用户可以继续访问云服务。这种缓解方法通常依赖于先进的网络分析、自动化反制措施以及弹性基础设施,使其能够应对不断演化的DDoS攻击。

在云计算环境中,DDoS缓解由云服务提供商提供,他们将其作为保护客户云资源的重要服务之一。这些服务采用智能技术,能够实时监控网络流量,快速识别潜在的攻击,并采取适当的措施来抵御攻击。此外,DDoS缓解服务通常允许用户根据其特定需求进行自定义配置,以满足其安全性和性能要求。

二、什么是 DDoS 缓解

DDoS 缓解指的是成功保护目标服务器或网络免受分布式拒绝服务(DDoS)攻击的过程。通过使用专门设计的网络设备或基于云的保护服务,被攻击的受害者能够减轻来自攻击的威胁。

一句话:“DDoS 缓解”是指成功保护目标免受分布式拒绝服务 ( DDoS ) 攻击的过程。

DDoS 缓解的关键点:

  • 成功保护目标系统免受 DDoS 攻击的过程。
  • 使用网络设备或保护服务来减轻传入的威胁。

三、DDoS 缓解阶段

使用基于云的提供商来缓解 DDoS 攻击时,可以分为 4 个阶段:

在这里插入图片描述

检测阶段

检测 - 为阻止分布式攻击,网站需要能够区分攻击流量与大规模正常流量。如果产品发布或其他公告导致网站涌入大批新的合法访问者,那么网站最不希望的就是限制访问者或以其他方式阻止访问者查看网站内容。IP 信誉、常见攻击模式和过往数据均有助于妥善完成检测。

阻止 DDoS 将攻击与大量正常流量区分开来。

响应阶段

响应 - 在此步骤中,DDoS 保护网络将通过智能方式丢弃恶意机器人流量并吸收其余流量,从而对传入的已识别威胁做出响应。利用 WAF 页面规则应对应用程序层(L7)攻击,或者运用其他过滤流程来应对低层(L3/L4)攻击(如 memcached 或 NTP 放大),网络能够缓解中断攻击。

系统通过智能丢弃恶意流量来响应传入的已识别威胁

路由阶段

路由 - 高效 DDoS 缓解解决方案通过智能方式路由流量,将剩余流量分解为可管理的区块,从而防止拒绝服务。

路由流量,将剩余流量分解为可管理的块,防止拒绝服务。

调整阶段
调整 - 卓越的网络可以分析流量总结模式(如重复违规的 IP 阻止),特别是攻击来自某些特定国家/地区或特定协议使用不当时效果尤为显著。通过调整应对攻击模式,保护服务可以加强自身以防范未来攻击。

分析流量的模式,例如重复违规 IP 块和攻击

四、如何选择 DDoS 缓解提供商

传统 DDoS 缓解解决方案需要采购现场设备并过滤传入流量。这种方法需要采购和维护昂贵的设备,而且依赖能够缓解攻击的网络。如果 DDoS 攻击规模足够大,将可以从上游切断网络基础设施,阻止各类现场解决方案生效。如果采购基于云的 DDoS 缓解服务,应对某些特征进行评估。

选择缓解提供商时,必须考虑其他几个关键方面。这些包括:网络容量、处理能力、可扩展性、灵活性和可靠性。

在这里插入图片描述

4.1 网络容量

你的DDoS缓解服务需要拥有足够的网络带宽来应对攻击期间产生的大量虚假流量。例如,如果网络的总带宽为 1 Tbps,在考虑正常操作所需的带宽之后,它应该能够有效地抵御 DDoS 流量的冲击。

大多数基于云的缓解服务提供多 Tbps 的网络容量,远远超出任何个人客户可能需要的容量。另一方面,本地 DDoS 缓解设备默认受到组织网络管道大小和内部硬件容量的限制。

主要特征:

  • 可用带宽— 以 Gbps 或 Tbps 为单位测量,可用于防御攻击。超过 DDoS 提供商带宽的攻击将会攻击您的服务器。
  • 部署模型— 基于云或本地解决方案。基于云的解决方案具有弹性可扩展性,可以防御大容量 DDoS 攻击。

4.2 处理能力

DDoS 缓解策略需要能够快速处理大量数据。DDoS 缓解步骤之一是处理和转发流量。例如,如果攻击以每秒 7500 万个数据包 (Mpps) 的速率传入,而你的 DDoS 缓解计划只能处理 65 Mpps,则某些攻击将到达你的服务器。

主要特征:

  • 转发率:以 Mpps 为单位。超过 DDoS 提供商转发速率​​的攻击将会攻击您的服务器。
  • 转发技术:DNS 或 BGP 路由。DNS 路由始终开启,可以防御应用层和网络层攻击。BGP 路由几乎可以防御任何攻击,并且可以始终在线或按需激活。

4.3 可扩展性

你的 DDoS 缓解服务需要可扩展,因为攻击规模可能会增加而不是减少。如果你的 DDoS 缓解提供商无法增加其网络或处理能力,那么未来更大规模的攻击可能会渗透到你的服务器。

4.4 灵活性

在防御 DDoS 攻击时,灵活性与抵御勒索软件或病毒威胁同样重要,甚至更重要。即使合法流量存在较大波动,系统也需要能够识别攻击。这需要设置页面规则来区分真实流量和虚假流量,并控制如何缓解攻击。这些规则必须在整个网络中传播。

4.5 可靠性

你的 DDoS 服务就像防火墙一样,需要可靠。当你需要时,它应该随时出现。为了确保可靠的防御系统,你的服务需要有 24 * 7 的监督以及冗余和故障转移解决方案,以便在主要组件发生故障时启动“保险”系统。

需要考虑的特征:

  • 正常运行时间保证:五个九 (99.999%) 代表最好的情况。任何低于三个九 (99.9%) 的值都是不可接受的。
  • 保护级别:如本文所述,提供商的 SLA 应定义其涵盖的攻击类型、规模和持续时间。
  • 支持服务级别:SLA 应详细说明提供商对支持问题的响应时间。这些通常是根据问题的严重性级别来定义的。

4.6 其他考虑因素

个人觉得除了上述大家都比较认可的选择缓解提供商衡量标准外,一些比较重要的因素也需要考虑。

4.6.1 定价

DDoS 缓解服务的定价范围一般会从即用即付到固定月费都有。

纯粹的“现收现付”定价:这可能很有吸引力,因为如果您不受到攻击,则无需支付任何费用。但如果发生攻击,您可能会因用于缓解攻击的云资源而产生大量费用。您可能需要为这些资源申请退款,因此提前了解在什么情况下会提供退款非常重要。

根据攻击量按需付费:基于累积攻击带宽(例如,50 Gbps/月)或累积攻击小时数(例如,12 小时/月)定价。由于 DDoS 攻击可能持续数小时或数天(有时甚至数周),因此此类成本可能很快就会失控。

基于服务的定价: 一些企业产品包括 DDoS 保护的基本价格,以及实施、配置等服务的特殊定价。虽然这些服务对您的组织可能很有价值,但请注意它们是 DDoS 成本的一部分缓解解决方案,并应计入您的总拥有成本。

简单的固定月费:这是长期协议的首选。确保固定费用涵盖所有相关攻击的全部费用。

比较价格时要考虑的其他因素:不同的提供商在不同的清理中心具有不同的容量,并且所有清理中心的净容量可能无法很好地反映您感兴趣的地理位置(您的数据中心所在的位置)中的清理中心攻击缓解能力。
缓解措施提供商的服务级别协议 (SLA) 是另一个重要的考虑因素,有时比价格更重要。

4.6.2 所专注的方向

"通才还是专家?DDoS 缓解市场包含了各种技术、服务和提供商。

专注于安全的专业公司提供更先进的解决方案,通常由专家团队组成,他们致力于持续的安全研究,并全天候监控新的攻击向量。

ISP和托管提供商等多面手则将缓解服务作为其核心服务的补充,主要以向现有客户提供额外销售为目的。

虽然多面手提供的缓解服务可能足以应对小型、简单的攻击,但如果你的在线应用程序对日常业务运营至关重要,那么专业的 DDoS 保护提供商是你组织最佳且风险最低的选择。

此外,在选择安全供应商时,你还应考虑他们的其他安全产品。全面的提供商不仅提供 DDoS 缓解,还提供应用程序安全、数据安全和网络保护等其他安全解决方案。选择一个集成了附加安全功能的 DDoS 产品,可以为你的组织提供全面的安全解决方案。"

文末送书《数据要素安全流通》

今天博主推荐的是:国内首本“数据要素安全流通”主题的著作 --《数据要素安全流通》

  • 参与方式:关注博主,评论区留言即可参与

  • 送出数量:暂定送出 1~3 本给粉丝

京东官方购买链接:https://item.jd.com/14169708.html

在这里插入图片描述

随着大数据、云计算、人工智能等新兴技术的迅猛发展,数据已经成为我国经济社会发展的五大生产要素之一,《网络安全法》《个人信息保护法》《数据安全法》的先后出台为维护国家安全、保护公民个人信息、规范网络行为以及促进数据经济发展奠定了法律基础,2022年底,中共中央、国务院颁布“数据二十条”,为加快构建数据基础制度,激活数据要素潜能,促进数据要素市场繁荣,构筑国家竞争新优势指明了发展方向。如何在保障数据安全和个人隐私的前提下,充分发挥数据要素的价值,成为摆在我们面前的一项重要课题。

为此,由国家工业信息安全发展研究中心指导,华东江苏大数据交易中心、贵州赛昇工业信息研究院、深圳国家金融科技测评中心、数据宝ChinaDataPay、南京航空航天大学共同组编,来自40多家企业、高校或组织的100多位专家参编的《数据要素安全流通》一书现已由机械工业出版社正式出版面市。

本书编撰背景

这是一本从背景、技术、产业、政策等多个维度深度解读如何实现数据要素安全流通的专业指导性书籍,也是一本理论和实践兼备的工具书,书中以数据要素安全流通为主线,结合政策和现状,从数据流通机制、数据安全流通的难点与挑战、数据安全流通的未来趋势和发展等方面出发,对数据要素安全流通进行了深度分析和阐述,同时囊括了数据可信确权、数据资产化、数据安全保障三大领域技术方案;此外,还从核心业务、基础支撑、服务咨询三个维度划分数据要素安全流通的产业生态链,汇聚了通信、金融、政务、能源、工业等6大领域40余个数据要素流通特色解决方案及实践案例。

当前数据要素流通交易过程中仍存在不同程度的数据安全问题,数据安全事件时有发生。随着《网络安全法》《个人信息保护法》《数据安全法》等相关法律的先后出台,数据安全的重要性得到了前所未有的提升,同时数据要素安全流通产业的发展加速,数据确权、数据流通交易、数据资产化等流通环节中新技术的应用涌现及落地,使数据要素如何安全、合规流通成为重要课题。基于此,华东江苏大数据交易中心于2022年5月项目正式启动《数据要素安全流通白皮书》项目。

在这里插入图片描述

《数据要素安全流通白皮书》项目历时近一年,为了推进《数据要素安全流通白皮书》项目进程,优化白皮书的内容,华东江苏大数据交易中心共组织了40+场闭门研讨会、14场公开讨论会、13场线上/线下沙龙 ,累计上千家行业参与,吸引10000余位行业人士关注,经过多方努力,《数据要素安全流通白皮书》在第三届数字经济科技大会上正式发布,最终由机械工业出版社进一步编辑及出版发行成书。

在这里插入图片描述

本书亮点

  • 国内首本“数据要素安全流通”主题的著作

  • 基于数据要素安全流通,囊括了数据可信确权、数据资产化、数据安全保障三大领域技术方案。

  • 从核心产业、基础设施、咨询服务三大维度划分数据要素安全流通产业生态链。

  • 汇聚电信、金融、政务、医疗等7大领域40+特色场景数据要素安全流通解决方案及实践案例。

  • 来自国家工业信息安全发展研究中心、中科院、公共大数据国家重点实验室、南京航空航天大学、国金测评、腾讯等单位10余位权威专家指导。

  • 来自40余家高校、科研机构、企业参与编撰,参编人员超过百人,上千家企业学者联袂编撰。

在这里插入图片描述

本书主要内容

《数据要素安全流通》共分以下11个章节,分别从时代背景、相关概念、行业发展现状、核心技术、产业生态链、场景案例、产业挑战、未来趋势和发展对策等多个角度进行了深入研究。

数据安全流通的时代背景

本章主要从数据主权、政策法规、市场需求、技术支撑四个维度介绍数据要素安全流通的时代背景,探究数据要素流通的内外核心驱动力。

数据安全流通相关概念

数据要素化、资源化等的基本概念。分析数据流通的开放、共享、交易三种类型,流通的主要参与主体和形态,实施的效果和未来趋势。围绕确权、定价、安全、机制等方面,深入分析构建数据安全流通的体系架构。

数据流通行业发展现状

从全球角度,分国外、国内,分别梳理并分析国家战略和政策法规与标准、技术研发及成熟度、市场发展及成熟度等方面介绍整个行业的现状。以附录的形式汇编国外、国内(详细)涉及数据流通的政策法规与标准。

数据可信确权技术

讨论数据可信确权技术如何真实记录不同主体参与不同数据活动的事实过程作为法规和制度建立后可践行的基础,以及如何通过技术的手段解决数据在流转过程中易被复制导致权属边界模糊的问题。

数据资产化技术

数据资源资产化定价、权益分配等核心技术的概述、现有方案、对比等。资产化定价、数据质量提升。

数据安全保障技术

从安全治理、安全计算、安全共享、安全追溯、安全检测等环节分析安全保障技术。

数据流通机制技术

从数据流通的机制、行业监管机制、行业合规化机制等方面进行流通的机制进行探讨,交易机构、交易平台的互联互通、交易1.0、2.0的关系与区别。

全国数据流通产业生态链

从核心业务、基础支撑及服务咨询三个维度进行全面介绍数据要素流通产业。梳理出数据要素流通的产业链构成,并以附录的形式构建数据流通产业生态链图谱。

数据安全流通场景及案例

主要分为数据开放、数据共享、数据交易、数据跨境流通四个不同场景,从方案、商业模式、技术落地、支持合规性等方面针对问题、需求等方面展开。

数据安全流通产业的挑战

总结分析出我国面临的国际挑战、国内需求、未来发展趋势以及在数据安全流通领域存在的挑战。

数据安全流通的未来趋势和发展对策

围绕产业发展,凝练数据安全流通领域的未来趋势,并针对总结的各类挑战和趋势,对国家、对行业、对个人等各个层面提出能够促进数据安全流通行业繁荣发展、有序发展、健康发展的建议对策。

《数据要素安全流通》一书是持续深耕数据要素市场8年的华东江苏大数据交易中心为中国数据要素市场的发展壮大所贡献的绵薄之力,希望能为数据要素市场相关政策法规、标准规范的制定及企业实践等提供有益的参考和启示。

[ 本文作者 ]   bluetata
[ 原文链接 ]   https://bluetata.blog.csdn.net/article/details/133614938
[ 最后更新 ]   10/06/2023 20:02
[ 版权声明 ]   如果您在非 CSDN 网站内看到这一行,
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章,
可能导致内容不完整,请去上述的原文链接查看原文。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/151150.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

蓝桥杯每日一题2023.9.30

蓝桥杯大赛历届真题 - C&C 大学 B 组 - 蓝桥云课 (lanqiao.cn) 题目描述 题目分析 对于此题,首先想到了dfs进行一一找寻,注意每次不要将重复的算进去,故我们每次循环可以记录一个开始的位置,下一次到这个位置时,…

玩转Linux—如何在Linux环境中部署MySQL、Redis和nginx

1、Linux常用命令 Linux学习之路: VMware虚拟机安装Linux系统(详解版) 查看当前文件目录:ls查看目录中文件详细信息:ll输出当前所处的目文件目录:pwdLinux查看当前IP地址:ifconfigWindows查看当前IP地址&#xff1…

【Docker】 docker中apt-get update过慢,这样配置瞬间提速!

docker中apt-get update过慢,这样配置瞬间提速! 源官网全球镜像站 源 今天办公地点的网络出奇的差,看电影看小说打游戏完全没影响,只要更新就蜗速前进,只能从网上翻下,看看有没有网速快的下载源。 碰巧看到…

山西电力市场日前价格预测【2023-10-09】

日前价格预测 预测说明: 如上图所示,预测明日(2023-10-09)山西电力市场全天平均日前电价为575.84元/MWh。其中,最高日前电价为1500.00元/MWh,预计出现在17: 30-20: 00。最低日前电价为218.27元/MWh&#x…

RHCE---DNS服务器

文章目录 目录 文章目录 前言 一.DNS服务器 概述: 域名分类 域名服务器的类型划分 DNS域名解析过程 DNS服务器配置 总结 前言 前面几节文章我们了解到时间服务器和远程连接服务器,还通过访问域名的方式建立一个网站, 我们知道访问服务器需…

TDengine OSS 与 qStudio 实现无缝协同,革新数据分析和管理方式

在数字化转型如火如荼的当下,海量爆发的时序数据处理成为转型成功的关键因素之一。为了帮助社区用户更好地进行数据分析和管理,丰富可视化解决方案的多样性,我们将开源的时序数据库(Time Series Database) TDengine OS…

java版工程项目管理系统 Spring Cloud+Spring Boot+Mybatis+Vue+ElementUI+前后端分离 功能清单

Java版工程项目管理系统 Spring CloudSpring BootMybatisVueElementUI前后端分离 功能清单如下: 首页 工作台:待办工作、消息通知、预警信息,点击可进入相应的列表 项目进度图表:选择(总体或单个)项目显示…

Qt + FFmpeg 搭建 Windows 开发环境

Qt FFmpeg 搭建 Windows 开发环境 Qt FFmpeg 搭建 Windows 开发环境安装 Qt Creator下载 FFmpeg 编译包测试 Qt FFmpeg踩坑解决方法1:换一个 FFmpeg 库解决方法2:把项目改成 64 位 后记 官方博客:https://www.yafeilinux.com/ Qt开源社区…

javaee ssm框架项目整合thymeleaf 项目结构图

搭建ssm框架项目 参考这篇博客 引入thymeleaf 引入jar包 <?xml version"1.0" encoding"UTF-8"?><project xmlns"http://maven.apache.org/POM/4.0.0" xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xsi:schema…

sheng的学习笔记-【中文】【吴恩达课后测验】Course 1 - 神经网络和深度学习 - 第二周测验

课程1_第2周_测验题 目录&#xff1a;目录 第一题 1.神经元计算什么&#xff1f; A. 【  】神经元计算激活函数后&#xff0c;再计算线性函数&#xff08;zWxb&#xff09; B. 【  】神经元计算一个线性函数&#xff08;zWxb&#xff09;&#xff0c;然后接一个激活函数…

罗彻斯特大学探讨ChatGPT等人工智能将如何影响高等教育

人工智能聊天机器人ChatGPT持续引起互联网用户的热议&#xff0c;它能够回答关于各个领域的问题&#xff0c;创作歌曲、食谱&#xff0c;起草电子邮件等等。罗切斯特的教职员工和管理人员就他们如何处理 ChatGPT 以及它如何影响未来的教学和学习提出了他们的想法。 “让这项技…

文件智能管理将文件统一保存在某个指定文件夹中

日常工作中经常会整理文件到指定的文件夹&#xff0c;少的时候用鼠标拖拖&#xff0c;多了就很麻烦了&#xff0c;手动操作很容易出现漏洞&#xff0c;会漏个某文件没有移动进去或出现重复移动同一个文件等&#xff0c;移动文件这种工作很枯燥可以交给文件批量改名高手软件&…

Spark基础

一、spark基础 1、为什么使用Spark Ⅰ、MapReduce编程模型的局限性 (1) 繁杂 只有Map和Reduce两个操作&#xff0c;复杂的逻辑需要大量的样板代码 (2) 处理效率低 Map中间结果写磁盘&#xff0c;Reduce写HDFS&#xff0c;多个Map通过HDFS交换数据 任务调度与启动开销大 (…

UG\NX二次开发 重命名特征对象 UF_OBJ_set_name

文章作者:里海 来源网站:《里海NX二次开发3000例专栏》 感谢粉丝订阅 感谢 林闹 订阅本专栏,非常感谢。 简介 UG\NX二次开发 重命名特征 UF_OBJ_set_name 效果 代码 #include "me.hpp" #include <vector> #include

管易云与网易互客对接集成发货单查询2.0连通编辑订单(管易包裹物流=>互客销售订单物流(修改)V1)

管易云与网易互客对接集成发货单查询2.0连通编辑订单(管易包裹物流>互客销售订单物流&#xff08;修改&#xff09;V1) 来源系统:管易云 管易云是金蝶旗下专注提供电商企业管理软件服务的子品牌&#xff0c;先后开发了C-ERP、EC-OMS、EC-WMS、E店管家、BBC、B2B、B2C商城网站…

【Python】基于OpenCV人脸追踪、手势识别控制的求生之路FPS游戏操作

【Python】基于OpenCV人脸追踪、手势识别控制的求生之路FPS游戏操作 文章目录 手势识别人脸追踪键盘控制整体代码附录&#xff1a;列表的赋值类型和py打包列表赋值BUG复现代码改进优化总结 py打包 视频&#xff1a; 基于OpenCV人脸追踪、手势识别控制的求实之路FPS游戏操作 手…

Tomcat自启动另一种方法

Tomcat自启动另一种方法 问题&#xff1a; 不知道怎么回事&#xff0c;好几台电脑都可以开机自启动tomcat&#xff0c;正常运行项目。一样的配置一样的操作流程&#xff0c;偏偏要运行的机器开机自启动后&#xff0c;项目不能运行&#xff0c;手动重启tomcat又可以用了。网上…

蓝桥杯每日一题2023.10.6

题目描述 门牌制作 - 蓝桥云课 (lanqiao.cn) 题目分析 #include<bits/stdc.h> using namespace std; int ans; int main() {for(int i 1; i < 2020; i ){int x i;while(x){int a x % 10;if(a 2)ans ;x / 10;}}cout << ans;return 0; } 题目描述 既约分数…

基于可解释性特征矩阵与稀疏采样全局特征组合的人体行为识别

论文还未发表&#xff0c;不细说&#xff0c;欢迎讨论。 Title: A New Solution to Skeleton-Based Human Action Recognition via the combination usage of explainable feature extraction and sparse sampling global features. Abstract: With the development of deep …

VMware16.1.2安装及密钥

文章目录 一、VMware 16 虚拟机下载二、安装步骤三、VMware 各版本注册密钥1 、VMware 16密钥2 、VMware 14密钥3 、VMware 15密钥4 、VMware 17密钥 一、VMware 16 虚拟机下载 VMware 16 下载地址&#xff1a; https://www.vmware.com/cn/products/workstation-pro/workstati…