多層防御戰略、DNS服務器保護以及IT架構的可見性是企業用戶免于DDos攻擊之痛與代價的最有效的防御方法。

單一的拒絕服務攻擊（Denial of service assaults）是從一臺計算機設備發起的，DDos攻擊涉及僵尸程序的滲透，也就是說這才是造成整個網絡安全最大的威脅。Verizon（全成威瑞森無線通訊，是美國第一家提供320萬像素照相手機配套銷售的無線營運商）在其2012年數據違規調查報告中稱這些攻擊是"比其他安全威脅更可怕、更具威脅性，無論是現實環境還是預計的情況下"。

[[66862]]

研究機構Stratecast在最近的調研報告中也指出DDos攻擊每年呈20％到45％的增長，尤其是基于應用的DDos攻擊增長的趨勢已接近三位數。Stratecast進一步談到，通過DDoS的攻擊是黑客組織最頻繁使用的工具，時常作為多重技術攻擊戰略的一部分。

且研究專家發現DDOS攻擊不僅在攻擊頻率上增加，在帶寬侵蝕與攻擊持續性方面也同樣不斷的增加。十年前，舉例說明，50Gbps的攻擊在一年之中也就出現一兩次；現如今，諸如這樣的攻擊幾乎每周都有發生。

此外，攻擊形式也變得更加聰明隱晦，不再是簡單的運行一個發送泛洪數據的腳本，攻擊者開始通過一系列的操作，使之適應攻擊的類型或攻擊目標。

隨著更多的企業在其網絡中允許移動設備的使用，DDos攻擊將繼續激增。Fortinet的威脅研究實驗室FortiGuard Labs同時也發現移動僵尸例如Zitmo與傳統的PC上盛行的僵尸攻擊具有相同的特點與功能。FortiGuard Labs在2013年的威脅預測中也提出，拒絕服務攻擊出現新的形式，同時影響PC與移動設備。

DDos攻擊通常會造成很大的代價。除了因攻擊造成的停工損失收入外，受攻擊的公司還不得不忍受IT故障分析與恢復的時間、誤工的損失以及因此而造成的合同損失與公司品牌與聲譽的損失。

DDoS攻擊問題的不斷深化，表明企業必須采取必要的安全策略進行防御的必要性。料敵于先機也就是主動性防御，是所有安全戰略的防護策略，且可以減少被攻擊的風險。也就是說與其刪除所有的DDoS流量，不如集中在如何保持服務，尤其是重要的業務服務盡可能最小的遭受干擾?；诖耍瑯I務是通過訪問網絡環境而開始的，從而才有回復的方案。這些交互中，應將備份與恢復考慮在內，另外監控同樣是快速高效恢復業務服務的方法之一。

對于主動性防御，需要三個關鍵步驟來完成多層防御戰略、DNS服務器保護以及IT架構的可見性與控制性。

多層防御

多層防御戰略對于DDoS防御來講至關重要，且涉及專門的邊界解決方案用戶防御與減緩來自網絡各個方面的威脅。這些工具應該提供防欺騙、主機認證技術、數據層面與應用層的閥值、狀態與協議確認、基線執行、閑置檢測、黑白名單與基于地理位置的訪問控制列表。

當考慮專門的DDoS解決方案時，公司需要確認這些方案不但能夠檢測基于應用層的DDoS攻擊且要非常高效阻斷常規、一般或者定制的DDoS攻擊技術與模式，且具有"學習"識別基于流量數據的可接受的以及異常的流量行為模式。流量分析是協助快速檢測并限制威脅的關鍵，同時可以減少誤報。

為了獲得更高效的操作，公司機構也應該尋求提供高級的虛擬化與基于地理位置功能的DDoS解決方案。地理位置技術，在另一方面，可以使公司機構阻斷來自于未知或可疑的不相關來源的惡意流量；通過削減來自公司機構之外的地址信息流量可減少了終端服務器帶寬的負載與資源的消耗。

虛擬化實現后，策略管理員可以創建并審查在單個設備中的多個獨立的策略域，從而防止攻擊在一個網段影響輻射到其他網段。該機制的精髓在于防御預設而不是將賭注投擲在單一的一套策略中；管理員可以預先定義多重配置，在之前的策略不充分的情況下，應用更為嚴格的策略。

DNS服務器的安全防護

作為整體防御戰略的一部分，企業必須保護其最關鍵資產與架構。許多公司機構因web的可用性保留自己的DNS服務器，這也是在DDoS攻擊中被首先當作目標的系統。一旦DNS服務器被攻擊，攻擊者們便能夠快速拿下公司的web操作，并創建一個拒絕服務的環境。安全市場中有可用的DNS防御解決方案，可防御事務處理ID、UDP源端口以及隨機化的入侵。

保持IT架構的可見性與控制性

公司機構需要有一種能夠保持系統在攻擊前、攻擊中或攻擊后的警覺性。IT環境的全方位的可視性在業內已不是什么秘密，這樣的情形下，管理員能夠檢測到網絡流量的異常以及快速發現攻擊，也使管理員具有更智能與更具有分析能力實現適當的遷移與安全預警。最佳的防御是具有報警系統能夠持續且自動的實現監控，并在檢測到DDoS流量時發出報警并促發響應機制。

對網絡具有顆粒度的可視性與控制性是至關重要的。網絡的可視性可以協助管理員獲取攻擊的根源并阻斷流量溢出，同時合法的流量能夠自由的來去；以及使管理員能夠具有發起實時以及歷史攻擊分析的能力。另外，高級的源地址跟蹤功能可以定位非哄騙性攻擊的地址，甚至可以聯系到攻擊者的域名管理員，從而提供了防御的力度。

將注意力回歸到業務層面

如同其他安全威脅一樣，DDoS攻擊將持續的增長并在未來變得更為猖獗。DDoS技術不斷的演化也要求公司機構具有應對這樣猖獗肆虐攻擊的前瞻性洞察力，并落實在實時防御行動。

因此，在遭遇DDoS威脅之前，首先要加強應對計劃以及網絡架構訪問機制。鞏固關鍵服務器并對數據劃分優先性安全訪問管理。同時，對網絡的全方位了解是實現最佳管理與監控的基礎，也是使管理員能夠做出攻擊預警與防御機制，最快確定攻擊來源的關鍵。

只有做到多層防御戰略、DNS服務器保護以及IT架構的可見性，企業才能使遠離DDoS攻擊，集中在業務的管理與處理。