引言：時(shí)至今日，DDoS攻擊從未消沉過(guò)，近兩年來(lái)，雖然針對(duì)企業(yè)以經(jīng)濟(jì)利益為目的的高級(jí)可持續(xù)性攻擊越來(lái)越多，而企業(yè)也越來(lái)越難以防范。但作為一種易于開(kāi)展又為害甚重的攻擊手段，DDoS攻擊也成為如今困擾企業(yè)的難題之一。

DDoS攻擊全稱分布式拒絕服務(wù)攻擊，攻擊者大都以癱瘓對(duì)方的服務(wù)為直接目的，以耗盡網(wǎng)絡(luò)設(shè)施(服務(wù)器、防火墻、IPS、路由器)性能為手段，利用網(wǎng)絡(luò)中分布的傀儡主機(jī)向目標(biāo)設(shè)施發(fā)送惡意攻擊流量。由于傀儡主機(jī)數(shù)量巨大，所以DDoS 攻擊產(chǎn)生的流量經(jīng)常會(huì)達(dá)到服務(wù)器甚至是電信級(jí)網(wǎng)絡(luò)設(shè)備的性能上限。同時(shí)由于傀儡主機(jī)呈現(xiàn)多地區(qū)分布的特點(diǎn)，導(dǎo)致攻擊難以溯源，無(wú)法準(zhǔn)確防范。而其簡(jiǎn)單的工作原理和攻擊方式導(dǎo)致大量的不法之徒可以輕易的掌握某種DDoS攻擊技術(shù)。

企業(yè)目前在安全和風(fēng)險(xiǎn)管理上面臨著幾個(gè)嚴(yán)重的挑戰(zhàn)，首先是缺乏端到端的企業(yè)整體安全方案;其次缺乏統(tǒng)一的安全防御模型。信息的共享與使用存在困難，政府和不同的企業(yè)、企業(yè)的不同系統(tǒng)之間，在安全架構(gòu)與模型、信息通告、接口標(biāo)準(zhǔn)等方面缺乏統(tǒng)一與協(xié)作，導(dǎo)致雖然企業(yè)建立了多種安全防御系統(tǒng)，但攻擊仍然可以利用安全盲區(qū)發(fā)動(dòng);最后安全防御的成本急劇增加，攻防成本和效率失衡。

基于以上的機(jī)會(huì)，DDoS攻擊在如今呈現(xiàn)愈演愈烈之勢(shì)。近兩年來(lái)，最大規(guī)模的DDoS攻擊早已超過(guò)100G。而對(duì)傳統(tǒng)的企業(yè)級(jí)安全防御設(shè)備來(lái)說(shuō)卻無(wú)法有效的進(jìn)行防御，防火墻作為網(wǎng)絡(luò)基礎(chǔ)安全設(shè)施已經(jīng)得到人們的認(rèn)可，但防火墻的主要功能是域間隔離、NAT、VPN。DDoS攻擊的對(duì)象是部署在防火墻DMZ區(qū)的服務(wù)器，傳統(tǒng)防火墻對(duì)DMZ區(qū)只能采用通用的基于應(yīng)用端口和四層協(xié)議的訪問(wèn)控制，如果攻擊是模擬業(yè)務(wù)訪問(wèn)報(bào)文，防火墻的防范會(huì)徹底失效。IPS設(shè)備基于特征庫(kù)過(guò)濾已知威脅，但是當(dāng)前DDoS攻擊大部分都是模擬合法業(yè)務(wù)訪問(wèn)報(bào)文，所以IPS系統(tǒng)面對(duì)DDoS攻擊往往也束手無(wú)策。

而最糟糕的是，大量變?cè)碔P變?cè)炊丝诘腄DoS攻擊會(huì)快速導(dǎo)致部署在網(wǎng)關(guān)處的新建會(huì)話低的防火墻或IPS早于業(yè)務(wù)系統(tǒng)癱瘓，現(xiàn)網(wǎng)已經(jīng)出現(xiàn)多次DDoS攻擊引起防火墻和IPS癱瘓最終導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷的事故。

D1Net評(píng)論：

可以看出，DDoS 防護(hù)是一場(chǎng)長(zhǎng)期持久的戰(zhàn)爭(zhēng)，攻擊者總是在猜測(cè)著防護(hù)體系的防范規(guī)律，同時(shí)也在不斷的推出新的攻擊軟件和攻擊手段。在如此情勢(shì)下，單純靠網(wǎng)絡(luò)安全設(shè)備來(lái)進(jìn)行防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。完整而健全的防護(hù)體系實(shí)際上需要DDoS 防護(hù)設(shè)備，應(yīng)急響應(yīng)團(tuán)隊(duì)，攻擊分析團(tuán)隊(duì)和DDoS 防護(hù)開(kāi)發(fā)團(tuán)隊(duì)的通力合作才能夠建立。