隨著DDoS攻擊的范圍和復(fù)雜程度的增加，數(shù)據(jù)中心基礎(chǔ)設(shè)施提供商，電信運營商和安全廠商應(yīng)該共同反擊。

如今，分布式拒絕服務(wù)攻擊(DDoS)發(fā)生了變化，其規(guī)模越來越大，影響越來越大，并針對越來越多的公司。而攻擊者也在不斷創(chuàng)新他們使用的載體，并確定更多的薄弱點。

這意味著防御者需要采取多層次的防御策略，因為這不只是簡單的洪水攻擊。

傳統(tǒng)的DDoS攻擊是當一家公司突然大幅增加傳入的消息，淹沒通信渠道，直到合法的流量不能再進入。

為了進行防護，數(shù)據(jù)中心運營商通常使用Akamai和Cloudflare等供應(yīng)商的DDoS攻擊防護服務(wù)。

Forrester Research分析師Joseph Blankenship表示，這只是DDoS的一種攻擊方式，攻擊者總是在尋找新的破壞方式。

他說：“例如，對于容量耗盡式DDoS攻擊的保護并不一定意味著企業(yè)可以應(yīng)對基于應(yīng)用程序或多向量攻擊。”

基于應(yīng)用程序的攻擊能夠以更小的消息量關(guān)閉企業(yè)的網(wǎng)站或其他服務(wù)。例如，他們可以使資源密集的信息請求使應(yīng)用程序陷入困境。而其消息的數(shù)量可能很少，甚至不像DDoS攻擊。

一些DDoS安全防護供應(yīng)商也提供了針對這些類型攻擊的保護措施，但是企業(yè)也需要通過設(shè)計足夠的應(yīng)用程序來避免這些陷阱。

此外，諾基亞運營商SDN技術(shù)產(chǎn)品營銷總監(jiān)Tony Kourlas建議采用雙重方法防御DDoS攻擊方式：在其網(wǎng)絡(luò)邊緣處理容量耗盡式攻擊，然后在消息通過第一級檢查后，發(fā)送到一個專門尋找更復(fù)雜，有針對性攻擊的清洗中心。

“如今發(fā)生的事情是企業(yè)受到攻擊，檢測到受攻擊的設(shè)備有大量的流量或出現(xiàn)其他流量，他們會將所有流量轉(zhuǎn)發(fā)到清洗中心。”他說。

但是，對于目前的大規(guī)模攻擊來說，這并不奏效。他說，“企業(yè)為了減輕這種攻擊，所承擔所有防護費用，并且時間太長。”

此外，DDoS攻擊保護設(shè)備必須更智能地識別惡意流量，僅按照規(guī)模大小是不夠的。

“企業(yè)需要復(fù)雜的算法來確定是否有問題。”Kourlas說。諾基亞公司正在監(jiān)控互聯(lián)網(wǎng)流量，以識別惡意郵件的來源，并跟蹤流量比率，查看源碼是否突然開始發(fā)送不同類型的郵件。

此外，OneLogin公司產(chǎn)品高級總監(jiān)Al Sargent表示，除了直接攻擊數(shù)據(jù)中心或網(wǎng)站之外，DDoS攻擊的目標還可能是DNS服務(wù)等關(guān)鍵的基礎(chǔ)架構(gòu)提供商。

因此，在考慮云服務(wù)時，企業(yè)應(yīng)該檢查供應(yīng)商是否采用多個DNS提供商的服務(wù)。

他說：“如果一個DNS提供商遇到DDoS攻擊，其他提供商仍然可以將數(shù)據(jù)包路由到云服務(wù)。”

如果企業(yè)規(guī)模足夠大，可以運行自己的DNS服務(wù)器，那么可能需要采取更多的行動。

A10 Networks公司研發(fā)主管Rich Groves表示，“未來的僵尸網(wǎng)絡(luò)攻擊將會有所改變。這使人們注意到攻擊者可以將大量請求發(fā)送到企業(yè)URL上的隨機生成的子域，這樣可以減慢或完全阻止合法的傳入流量。”

他說，“以往人們注意到了這個問題，但當時并沒那么多，現(xiàn)在他們正在投入人才物力進行安全防護。”

需要更多的幫助

隨著DDoS攻擊范圍和損害的增加，電信公司，安全供應(yīng)商，基礎(chǔ)設(shè)施提供商和其他行業(yè)參與者需要共同努力，幫助數(shù)據(jù)中心實現(xiàn)更好的安全防護。

例如，Cloudflare公司與數(shù)據(jù)中心提供商和電信公司合作，將保護擴展到其網(wǎng)絡(luò)和客戶。Cloudflare公司首席執(zhí)行官Matthew Prince表示，目前DDoS攻擊在全球117個城市都有存在，約占互聯(lián)網(wǎng)需求的10%。

通過向互聯(lián)網(wǎng)服務(wù)提供商提供DDoS防御服務(wù)，Cloudflare公司能夠DDoS攻擊在達到預(yù)期的受害者之前停止攻擊。

Prince表示，“我們可以在上游阻止DDoS攻擊。”