簡談ddos監控措施

現在有很多防禦或緩解DDoS攻擊的服務，但是如何第一時間發現網站被D仍然是個難題。這裡我們羅列四個幫助識別DDoS攻擊的監測工具和方法。

工具一：內部伺服器、網路和基礎設施監控

公司有很多監控軟體和應用程式可以選擇，但是最受歡迎的非Nagios莫屬。它能夠幫助你監控內部基礎設施與應用程式、伺服器、作業系統、網路協議、系統度量和網路基礎設施等在內的全部內容。

舉個例子，監控軟體通過檢查HTTP伺服器來確保網站或者Web伺服器的正常執行，如果伺服器不能正常運作，監控軟體會給出實時通知。

大多數的DDoS攻擊目標是一個Web伺服器或者應用程式端，監控軟體可能會發現HTTP伺服器速度變慢、CPU高負荷利用或者徹底奔潰的問題，但是這些情況並不能100%確定是遭到了DDoS攻擊，這一切還將取決於IT管理員對異常狀態的判斷。

工具二：外部效能監控

IT管理員可以使用一個外部效能監控解決方案來評估一個潛在發生的DDoS攻擊。和安裝於使用者網路內部的工具不同，外部效能監控解決方案通常由第三方提供，通過位於世界各地的監控節點對網站或應用程式進行性持續性探測。

外部監控一般包括以下幾個監控方案：

1、使用虛擬瀏覽器檢查網站或者應用程式正常執行的時間及效能2、使用真實瀏覽器檢查網站或者應用程式的降級效能、錯誤和服務3、監控如DNS、FTP和電子郵件的等的網路服務

外部第三方監控解決方案對DDoS來說是很有意義的。這一型別解決方案的目標是持續監控網站、伺服器或者應用程式端，當發生機器故障、反應緩慢以及其他的問題，這些都是DDoS攻擊的預兆。不過外部解決方案能告訴IT管理員機器效能降低或者徹底崩潰了，但是仍然不能確定原因。

第三方監測的目的是為了保護網際網路伺服器供應商、託管公司及伺服器的正常運作，緩慢的響應時間和機器的中斷都表明一個供應商或者伺服器被破壞。

在啟用DDoS保護服務之前，我們需要做的最重要的就是認真記錄所有來自第三方的監控資料。

工具三：Netflow或者Peakflow流量分析

Cisco公司開發的Netlow是另一個監控DDoS的不錯選擇，其主要用於收集IP流量資訊並逐步成為行業標杆，支援多個平臺並得到廣泛的應用。

Cisco將Netlow定義為一個數據序列包，資料中各欄位的含義如下：

源地址|目的地址|源自治域|目的自治域|流入介面號|流出介面號|源埠|目的埠|協議型別|包數量|位元組數|流數量

一些防DDoS服務商可以從你的Netflow資料中發現攻擊。舉個例子， 我們可以通過一段時間內統計的網路資料來定義一個正常狀態，也就是建立基線。一旦受到不良因素影響，流量資料就會出現異常高或者低的情況。

我們可以以報警為目的建立低、中、高的閾值。一旦超過閾值，使用者就能收到電子郵件、電話或者其他方式的報警。

但這種方案也存在缺陷，比如你根本無法匯出Newlow資料，因為這通常要求你擁有或者租賃自己的路由器。

工具四：前置監測

最後一個捕捉DDoS的監控方案涉及到在網路或者資料中心內部安裝DDoS監測裝置。一些防DDoS服務商提供了這樣的解決方案——本地監測和防護裝置處理在可用頻寬內的DDoS攻擊，如果攻擊超過頻寬，就切換到雲防護。

與我們談論的其他監控選擇相比，這種方案肯定是最貴的。所以價格也是我們要考慮的重要因素。

結論

DDoS攻擊問題日益嚴重，幾乎所有公司一直努力在做防D保護，而他們現在面臨的問題是“那我們如何知道我們受到攻擊了呢？”世界上沒有完美的解決方案，你需要做的就是根據你的基建、預算以及任何細節找到對業務來說是最佳的選擇。