ddos緩解服務不僅僅只是技術或服務保障。底層網路的質量和適應能力才是企業防禦系統中的關鍵元件，必須對其進行細緻評估，以確定其能在多大程度上保護企業免受複雜DDoS攻擊的侵擾。以下就是評估DDoS清洗網路時需要注意的5大關鍵因素。

超大容量

當涉及到大流量DDoS攻擊防護時，規模就很重要。過去十年間，DDoS攻擊的容量一直在穩步增長，每年都會達到新的攻擊量（和規模）。迄今為止，最大的DDoS攻擊是針對GitHub的基於memcached的DDoS攻擊。此次攻擊的峰值達到了約1。3兆位/秒（Tbps）和1。26億資料包/秒（PPS）。

為了抵禦這一攻擊，清洗網路不僅必須具備足夠容量來’覆蓋’攻擊，而且還必須擁有足夠的溢位容量來容納網路上的其他客戶以及可能同時發生的其他攻擊。最好是尋找至少具備高於迄今所觀察到的最大攻擊容量2-3倍的緩解網路。

專用容量

然而，僅僅擁有大容量還是不夠的。專用於DDoS清洗的容量同樣重要。許多安全提供商，尤其是那些採用’邊緣’安全方法的提供商，都是依靠內容分發網路（CDN）的容量來進行DDoS攻擊緩解的。

然而問題是，按照慣例，多數容量已經被使用。CDN提供商也不願意為未使用容量買單，因此CDN頻寬利用率通常可以達到60-70%，且經常會達到80%或以上。因此，為大規模DDoS攻擊帶來的’溢位’流量留下的空間就會很小。因此，將重點放在那些容量專用於DDoS清洗並且可以與CDN、WAF、或負載均衡等服務隔離的網路上才是更明智的做法。

全球覆蓋

企業部署DDoS緩解解決方案是為了確保服務的可用性。可用性的一個日益重要方面就是響應速度。也就是說，問題不僅僅只是服務的可用性，還有服務的響應速度有多快？雲端ddos防護服務將客戶流量傳送到服務提供商的清洗中心，清除惡意流量，然後將潔淨流量轉發到客戶的伺服器。因此，這一過程不可避免地增加了一定的使用者資料傳送延遲。

影響延遲的一個關鍵因素是與主機之間的距離。因此，為了將延遲降至最低，清洗中心必須儘可能地靠近使用者。這隻能透過遍佈全球的網路來實現，該網路在戰略通訊中心部署了大量清洗中心，可以大規模訪問高速光纖連線。因此，在檢查DDoS防護網路時，不僅要檢視容量，還要檢視清洗中心的數量及其分佈情況。

任播路由

影響響應時間的一個關鍵因素就是網路本身的質量及其後端路由機制。為了確保實現最大速度和適應能力，現代安全網路必須是基於任播路由的。基於任播的路由可以在IP地址和網路節點之間建立一對多的關係（即，多個網路節點具有相同的IP地址）。當請求傳送到網路時，路由機制會根據最小成本路由原則確定哪個網路節點是最佳的目的地。

可以根據跳數、距離、延遲或路徑成本考慮來選擇路由路徑。因此，來自任意給定點的流量通常會被髮送到最近和最快的節點。任播有助於提高網路中流量傳送的速度和效率。基於任播路由的DDoS清洗網路也具備這些優勢，從而為終端使用者帶來更快的響應和更低的延遲。

多重冗餘

最後，在選擇DDoS清洗網路時，備份也是很重要的。DDoS防護服務的全部意義就是確保服務的可用性。因此，企業不能讓DDoS防護服務或其中的任何元件成為單個故障點。這就意味著安全網路中的每個元件都必須擁有多個冗餘備份。

這不僅包括多個清洗中心和溢位容量，而且需要多個冗餘的ISP鏈路、路由器、交換機、負載均衡器、緩解裝置等。所有元件都具備多重冗餘的網路才可以隨時確保完全的服務可用性，並確保企業的DDoS緩解服務不會成為企業的單個故障點。

提出質疑

除了技術和服務，底層網路也是雲安全網路的重要組成部分。以上五個因素概括了企業應該透過哪些重要指標來評估提供潛在DDoS防護服務的網路。向企業的服務提供商或任何正在評估的服務提供商詢問其每個指標的相關能力，如果對他們的答案不滿意，那麼企業就應該考慮尋找替代方案了。

本文轉自站長號 https：//www。zhanzhanghao。cn/thread-1278-1-52。html

開啟App看更多精彩內容