一、DDoS走向大眾化、常態(tài)化

以簡單粗暴著稱的DDoS攻擊，于今年早些時候成功突破了T比特級攻擊流量，再次刷新了記錄。對于企業(yè)來說，如何在持續(xù)增長的攻擊規(guī)模下求得安全，擺脫自身網(wǎng)絡(luò)安全設(shè)備的擴展性瓶頸，了解其四種變化就變得尤為關(guān)鍵了。

[[233999]]

1. DDoS走向大眾化

令人想不到是，最早能夠追溯到1996年年初的分布式拒絕服務(wù)攻擊，在經(jīng)過了漫長的22年后，依然是備受攻擊者追捧的一種網(wǎng)絡(luò)攻擊手段。而鑒于DDoS平臺工具在互聯(lián)網(wǎng)上可用性越來越高，DDoS攻擊正在轉(zhuǎn)向軟件即服務(wù)(SaaS)模式，攻擊者可以通過付費雇傭的形式，對目標服務(wù)器展開定制化攻擊。

可以說，花錢招的“打手”越多，DDoS攻擊流量越大、持續(xù)時間越長，攻擊效果也越明顯，已變成當前企業(yè)必須面對的一大網(wǎng)絡(luò)安全頑疾。更可怕的是，與其他惡意軟件即服務(wù)的模式不同，不少DDoS攻擊平臺都以半合法的身份在互聯(lián)網(wǎng)上存在。雇傭者甚至不需要去網(wǎng)絡(luò)黑市上尋找，直接百度搜索就能在第一頁上看到。

號稱DDoS平臺的隨處可見

這些平臺往往自稱可提供“網(wǎng)站壓力測試”，用于測試網(wǎng)站服務(wù)器和帶寬對于訪問流量的承載能力。今年5月份被國外多家執(zhí)法部門聯(lián)合一舉端掉的webstresser.org，正是這樣的一個披著“合法”外衣的DDoS攻擊平臺。

2. DDoS攻擊常態(tài)化

今天的DDoS攻擊不僅越來越大眾化，更快速向常態(tài)化過渡。有數(shù)據(jù)顯示，2017年共發(fā)生750萬次DDoS攻擊，約占全球互聯(lián)網(wǎng)流量的三分之一。受訪的服務(wù)提供商表示，經(jīng)歷了越來越多的容量耗盡攻擊，還有受訪企業(yè)表示遭受的隱身應(yīng)用層攻擊也增加了30%。

同時，59%的服務(wù)提供商和48%的企業(yè)則經(jīng)歷了多向量攻擊，要比2016年提升20%。而這些多向量攻擊在單次持續(xù)性的攻擊中結(jié)合了大容量泛洪、應(yīng)用層攻擊和TCP狀態(tài)耗盡攻擊，導(dǎo)致攻擊防護越來越復(fù)雜，往往令攻擊者更容易得手。

在DDoS攻擊成為常態(tài)之際，其攻擊規(guī)模也在逐年增長。今年3月份針對Github的T比特級DDoS攻擊后，將DDoS攻擊正式拉進了“T比特攻擊時代”。

二、攻擊目標硬件化 防御部署混合化

1. 攻擊目標硬件化

然而隨著DDoS攻擊規(guī)模的日益擴大，其所覆蓋到的目標也不斷變化。有調(diào)查指出，從2017年以來，數(shù)據(jù)中心運營商表示36%的入站攻擊以路由器、防火墻、負載均衡設(shè)備和其他數(shù)據(jù)中心基礎(chǔ)設(shè)施為目標。大約48%的數(shù)據(jù)中心受訪者表示DDoS攻擊期間，防火墻、IDS/IPS設(shè)備和負載均衡設(shè)備失效導(dǎo)致宕機，較2016年的43%有所增加。

[[234000]]

DDoS攻擊瞄準網(wǎng)絡(luò)基礎(chǔ)硬件

此外，針對企業(yè)網(wǎng)絡(luò)硬件設(shè)備等基礎(chǔ)設(shè)施的DDoS攻擊也大幅增加。調(diào)查中，有61%的企業(yè)表示，其網(wǎng)絡(luò)基礎(chǔ)設(shè)施遭到了攻擊，52%的防火墻或IPS設(shè)備在DDoS攻擊期間失去防御功能或?qū)е略O(shè)備宕機。

而在面向服務(wù)提供商的攻擊中，對基礎(chǔ)設(shè)施的攻擊則沒有如此普遍，統(tǒng)計顯示10%是以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為目標的，另有15%則是以服務(wù)基礎(chǔ)設(shè)施為目標的。

2. 防御部署混合化

由于以防火墻、IPS設(shè)備為主的安全防護硬件在DDoS攻擊者發(fā)動的TCP狀態(tài)耗盡攻擊面前不堪一擊，無疑為企業(yè)網(wǎng)絡(luò)防護埋下了隱患。但盡管如此，這些基礎(chǔ)的網(wǎng)絡(luò)防護設(shè)備在抵御DDoS攻擊上仍舊是企業(yè)的重要選擇。如在服務(wù)提供商中，防火墻在最常見的DDoS緩解選項中排名第二，而在企業(yè)中，防火墻是82%受訪者的第一選擇。

因此，在防御DDoS攻擊策略上，如何避免單一依靠傳統(tǒng)的安全防護硬件，轉(zhuǎn)而部署能夠結(jié)合本地防護以及云端緩解功能的混合解決方案，才能做到更為有效的防護。借助智能DDoS緩解系統(tǒng)，當攻擊規(guī)模達到特定閾值時，其可發(fā)出的信號自動激活云端防御措施。這在現(xiàn)階段DDoS攻擊規(guī)模越來越大，攻擊方法涉及越來越多的應(yīng)用層之時，變得尤為關(guān)鍵。

三、結(jié)語

面對逐年嚴峻的DDoS威脅，一個不爭事實是要構(gòu)建出一個多層次智能綜合防御體系，才能為企業(yè)網(wǎng)絡(luò)及數(shù)據(jù)中心提供有效防護。而借助智能化、自動化本地內(nèi)置防御措施，輔以云端清洗緩解方案的聯(lián)動，將在未來DDoS攻擊防護體系中發(fā)揮出強大威力。