DDoS（分布式拒絕服務）攻擊由來已久，但如此簡單粗暴的攻擊手法為何時至今日依然有效，并成為困擾各大網(wǎng)站穩(wěn)定運營的“頭號敵人”呢？實際上，這與DDoS攻擊不斷變化演進不無關系。面對此種態(tài)勢，企業(yè)又該如何開展積極有效地防御部署呢？深諳此道的Arbor Networks指出，只有多層級的DDoS防護才是王道。

　　DDoS攻擊的三大趨勢

DDoS攻擊是一種利用大量攻擊流量淹沒目標網(wǎng)絡，令受害網(wǎng)站無法處理正常訪問請求的一種高破壞力、高攻擊效率的網(wǎng)絡攻擊手法。由于其成本低廉、高效，因此被網(wǎng)絡犯罪分子們所青睞，成為他們攻擊、勒索商業(yè)網(wǎng)站的重要武器。

在Arbor Networks大中華區(qū)總經(jīng)理金大剛看來，現(xiàn)階段的DDoS攻擊呈現(xiàn)出三大趨勢：

首先是攻擊的M型（兩極化）趨勢。當前的DDoS攻擊不僅有以超大攻擊流量為主的泛洪攻擊，還有能夠進行精準打擊的狀態(tài)耗盡攻擊、應用層攻擊。不論哪種攻擊方式，都能夠發(fā)揮強大殺傷力，對企業(yè)網(wǎng)站造成嚴重傷害。

其次是新形態(tài)DDoS攻擊規(guī)模不斷攀升。早年間黑客動用數(shù)十Mbps、甚至1Gbps攻擊流量，便可達到效果，但隨著目前用戶防御實力升級，攻擊者也順勢加碼，自從2013年首次出現(xiàn)300G規(guī)模攻擊流量后，2014年出現(xiàn)了400Gbps，2015年則達到500Gbps，未來再破記錄的幾率也不低。

再有就是攻擊速度的變化。除了傳統(tǒng)的一段時間內(nèi)集中發(fā)起的DDoS攻擊外，利用緩慢甚至是微量的惡意訪問流量卻能夠拖垮企業(yè)應用服務器的攻擊行為也開始在全球盛行起來。而且利用單一事件混搭多種攻擊型態(tài)的DDoS攻擊，如先發(fā)動狀態(tài)耗盡攻擊，隨后再進行流量攻擊也開始流行，并給網(wǎng)站帶來猝不不及防的威脅性。

主流防護體系中的軟肋

那么面對上述DDoS攻擊趨勢，目前的主流防護機制無法勝任么？金大剛表示肯定。他指出，如果按派系劃分，現(xiàn)階段防DDoS攻擊的主流廠商大致可分為三個派系。

一類為基于防火墻、入侵檢測系統(tǒng)、Web應用防護系統(tǒng)、負載均衡設備加上DDoS防護方案的廠商，一類是當?shù)剡\營商或流量清洗中心，還有一類是CDN廠商。

不過對于上述各派的抵御DDoS方案來說，或多或少都存在一些軟肋“罩門”。比如，第一類廠商推出的傳統(tǒng)安全設備，原本不是為了DDoS防護所設計的。因此，這些有狀態(tài)表（Stateful）的設備， 很容易在發(fā)揮出DDoS防護機能之前就被攻擊者利用狀態(tài)耗盡攻擊而自身難保了。而一些非專業(yè)DDoS保護設備則容易造成誤判。

對于運營商或ISP流量清洗中心來說，雖然可以提供有限的流量清洗能力， 但面對暴力流量攻擊發(fā)生時， 往往仍然無法進行有效清洗，或者說洗不干凈，而且無法主動偵測L7等攻擊行為以及不能掌控預算花費，在DDoS防御的縱深度上有一定欠缺。

而對于CDN廠商來說則往往欠缺防御廣度，例如其不能阻擋非網(wǎng)頁型態(tài)的攻擊行為；針對實際IP進行攻擊也無法攔截；動態(tài)網(wǎng)頁型的客戶則無法阻擋狀態(tài)耗盡攻擊；受限金融法規(guī)規(guī)范， 對金融交易所需加解密無法支持等等。

全方位阻斷策略

既然現(xiàn)階段的DDoS防護方案都存在這樣或那樣的不僅人意，究竟該如何應對DDoS攻擊呢？金大剛表示，一個完善可靠的DDoS防護，必須采用多層級的全方位阻斷策略。而這樣的防護體系需要具備下面的六大特征：

第一，駐地端防護設備必須24小時全天候主動偵測各類型DDoS攻擊，包括流量攻擊、狀態(tài)耗盡攻擊與應用層攻擊。

第二，駐地端防護設備只要偵測到攻擊流量后，即可實現(xiàn)阻擋。

第三，利用Arbor Pravail可用性保護系統(tǒng)（APS）設備，可以自動阻擋攻擊者的試探性流量，并推遲其后續(xù)攻擊頻率，積極防御。

第四，為了避免出現(xiàn)上述防火墻等設備存在的弊端，用戶應該選擇無狀態(tài)表架構（Stateless Architecture）的防護設備。

第五，利用云平臺、大數(shù)據(jù)分析，積累并迅速察覺攻擊特征碼，建立指紋知識庫（Signature Database），以協(xié)助企業(yè)及時偵測并阻擋惡意流量攻擊。

第六，將APS設備與Arbor Cloud云端清洗中心相結合，開展聯(lián)動防護。

顯而易見，通過上面的全方位阻斷策略，企業(yè)不僅可以構建出一套高效的多層級DDoS防護體系，還能夠在日益難纏的DDoS攻擊面前立于不敗之地了。