對付企業和組織而言，漫衍式拒絕處事進攻（DDoS）不只長短常疾苦的，并且還會給公司打來龐大的損失。那么我們應該如何防止這種進攻呢？在此之前，我們可以通過帶外系統或流量清洗中心來抵制DDoS進攻。可是此刻我們又多了一種防止要領，即內聯緩解（inline mitigation），這也是一種可行的自動化辦理方案。

DDoS進攻概述

實際上，DDoS進攻完全可以被看成“大局限網絡進攻”的代名詞。并且在某些非凡的進攻場景中，進攻流量可以到達每秒鐘好幾百Gbits，可是這種環境相對來說較量稀有。在大大都環境下，進攻者可以用每秒鐘1Gbit（可能更少）的流量來對企業或組織的網絡系統動員洪泛進攻。并且這些進攻的一連時間一般不會太長，大大都DDoS進攻只會一連三十分鐘閣下。進攻者可以通過DDoS進攻來拖垮方針網絡系統，并且往往會使整個網絡系統中所有的處事器全部下線。不只如此，我們凡是很難追蹤到進攻者，并且這種進攻也沒有什么很明明的前兆，這也就使得企業和組織很難去檢測和防止DDoS進攻。

2015年5月份，安詳咨詢機構波耐蒙研究所（Ponemon Institute）宣布了一份針對金融規模的網絡安詳威脅闡明陳訴。據統計，金融機構檢測漫衍式拒絕處事進攻平均需要耗費27天的時間，然后還需要花13天的時間去消除DDoS進攻所帶來的影響。

可是，這些進攻的本錢凡是也較量高。按照波耐蒙研究所的另一份觀測陳訴，DDoS進攻的平均本錢約為一百五十萬美元閣下，可是假如公司無法向客戶提供處事的話，公司的實際損失金額一般城市高出DDoS進攻本錢的三倍之多。今朝，DDoS進攻平均每小時的本錢約為38美金。所以無論如何，我們都應該思量一下到底應該如何防止DDoS進攻了。

內聯vs帶外

在最開始，行業內涵防止DDoS進攻時普遍回收的是帶外DDoS掩護。在這種防止機制下，網絡中的設備是獨立于路由器的。路由器認真傳輸來自互聯網的流量數據，然后發送元數據樣本，并向設備描寫流量數據的內容。假如系統檢測到了可疑的數據包可能探測到了DDoS進攻的苗頭，那么便會立即向用戶發出警報。

與之相反，帶內DDoS掩護機制需要直接面臨所有的通信數據流，而且在對流量舉辦闡明和處理懲罰的進程中，判定哪些數據包需要揚棄，然后將有效的數據包發送給終端設備或用戶。

內接洽統可以查察到從某個網絡節點流向別的一個網絡節點的通信流量，而且可以及時過濾和處理懲罰這些網絡流量。相對而言，帶外設備險些無法獲取到通信流量的樣本，并且這些數據早就已經達到目標地點了。

信息安詳咨詢公司MWR Infosecurity的安詳參謀Nick LeMesurier表明稱：“固然帶外流量闡明可以答允安詳人員在不影響通信數據流的環境下來對流量舉辦越發巨大的闡明，可是在檢測到進攻和防止法則的實施之間會有必然的時間延遲。”因此，帶外辦理方案凡是對DDoS進攻模式回響較慢，并且這種防止機制自己并不會做任何實際的工作，而是會提醒其他的系統來采納相應的防止法子。

Dave Larson是Corero網絡安詳公司的首席運營官兼首席技能官，他表明稱：“陳設一個內聯的自動化DDoS進攻緩解方案將答允安詳技能團隊搶在進攻者的前面，老是領先一步于進攻者。”

凡是環境下，當進攻流量通過不絕轉發最終達到帶外DDoS進攻緩解處事時，網站處事器都已經下線高出三十分鐘了，而此時進攻所造成的損失已經無法挽回了。此刻跟著時間的推移和技能的成長，DDoS不只變得越來越巨大了，并且進攻所造成的直接經濟損失也在不絕增加。為了應對這一日益嚴峻的安詳趨勢，我們就需要設計出一種高效的辦理方案。當進攻產生時，可以或許自動消除惡意流量給網絡系統所帶來的影響，而且可以或許答允打點員及時視察到網絡系統的運行環境。

貿易問題

信息安詳咨詢公司ECS的首席技能官Nathan Dornbrook認為：“重定向是帶外系統中的一個要害成果。網絡通信流量必需要從路由器重定向至DDoS進攻防止設備上，這樣防止系統才可以對數據包舉辦深條理地闡明。假如你是一家大型公司，并且你有兩家互聯網處事提供商（ISP）來輔佐你舉辦網絡流量的平衡負載。這往往意味著，假如你想要實現這種”重定向“的話，就必需要求個中一家處事提供商向別的一家處事提供商提供會見自家網絡焦點設施的途徑，而這是業內的一種大忌。”