DDoS攻擊防護的錯誤觀念有:1、認為CDN提供DDoS攻擊保護,CDN能緩解一些攻擊,但本身不能提供針對當前DDoS攻擊的全面保護;2、認為黑名單是限制資源訪問的理想工具,列表是靜態,在配置之后就會過時;3、認為防火墻可以防御任何DDoS攻擊,防火墻處理所有信息所需的計算能力是非常有限的;4、認為基于閾值的警報服務足以用于DDoS保護,流量峰值警報無法阻止DDoS攻擊,只能報告危機正在發生。
具體內容如下:
1、CDN提供DDoS攻擊保護
如果您認為CDN可以區分正常流量和攻擊流量,那可能存在錯誤理解。CDN本身并非旨在提供安全性,它能夠緩解一些攻擊,但絕不是所有攻擊。如果要利用CDN來防護DDoS攻擊,請先確保您的CDN服務中包含DDoS攻擊清洗工具。無論如何,CDN本身不可能提供針對當前DDoS攻擊的全面保護。
2、黑名單是限制資源訪問的理想工具
您不應該僅僅依靠黑名單和白名單來限制資源訪問。因為列表是靜態的,因此通常它們在配置之后就會過時。當然,它們可以用于減少虛假流量,但是當你成為攻擊的目標時,它們的效果確實有限。這是因為虛假流量來自您通常不會認為可疑的來源,因此尚未有時間列入您的黑名單。
3、防火墻可以防御任何DDoS攻擊
防火墻對于當今復雜的DDoS攻擊不夠有效。而且,它們可以成為惡意流量的入口點或攻擊的實際目標。存儲和防火墻處理所有信息所需的計算能力非常有限,使它們成為DDoS攻擊者的輕松目標。
4、基于閾值的警報服務足以用于DDoS保護
事實上,流量峰值警報無法阻止DDoS攻擊,它只是報告您危機正在發生。當警報服務注意到DDoS流量高峰并且您開始處理后果時,可能已經過去了20到30分鐘。在此期間,您的網站或應用程序將關閉,并需要由專家進行恢復。此時黑客還有可能竊取您的數據或進行更多其他潛藏的惡意活動。
