一、DDoS走向大眾化、常態化

以簡單粗暴著稱的DDoS攻擊，于今年早些時候成功突破了T比特級攻擊流量，再次刷新了記錄。對于企業來說，如何在持續增長的攻擊規模下求得安全，擺脫自身網絡安全設備的擴展性瓶頸，了解其四種變化就變得尤為關鍵了。

[[233999]]

1. DDoS走向大眾化

令人想不到是，最早能夠追溯到1996年年初的分布式拒絕服務攻擊，在經過了漫長的22年后，依然是備受攻擊者追捧的一種網絡攻擊手段。而鑒于DDoS平臺工具在互聯網上可用性越來越高，DDoS攻擊正在轉向軟件即服務(SaaS)模式，攻擊者可以通過付費雇傭的形式，對目標服務器展開定制化攻擊。

可以說，花錢招的“打手”越多，DDoS攻擊流量越大、持續時間越長，攻擊效果也越明顯，已變成當前企業必須面對的一大網絡安全頑疾。更可怕的是，與其他惡意軟件即服務的模式不同，不少DDoS攻擊平臺都以半合法的身份在互聯網上存在。雇傭者甚至不需要去網絡黑市上尋找，直接百度搜索就能在第一頁上看到。

號稱DDoS平臺的隨處可見

這些平臺往往自稱可提供“網站壓力測試”，用于測試網站服務器和帶寬對于訪問流量的承載能力。今年5月份被國外多家執法部門聯合一舉端掉的webstresser.org，正是這樣的一個披著“合法”外衣的DDoS攻擊平臺。

2. DDoS攻擊常態化

今天的DDoS攻擊不僅越來越大眾化，更快速向常態化過渡。有數據顯示，2017年共發生750萬次DDoS攻擊，約占全球互聯網流量的三分之一。受訪的服務提供商表示，經歷了越來越多的容量耗盡攻擊，還有受訪企業表示遭受的隱身應用層攻擊也增加了30%。

同時，59%的服務提供商和48%的企業則經歷了多向量攻擊，要比2016年提升20%。而這些多向量攻擊在單次持續性的攻擊中結合了大容量泛洪、應用層攻擊和TCP狀態耗盡攻擊，導致攻擊防護越來越復雜，往往令攻擊者更容易得手。

在DDoS攻擊成為常態之際，其攻擊規模也在逐年增長。今年3月份針對Github的T比特級DDoS攻擊后，將DDoS攻擊正式拉進了“T比特攻擊時代”。

二、攻擊目標硬件化 防御部署混合化

1. 攻擊目標硬件化

然而隨著DDoS攻擊規模的日益擴大，其所覆蓋到的目標也不斷變化。有調查指出，從2017年以來，數據中心運營商表示36%的入站攻擊以路由器、防火墻、負載均衡設備和其他數據中心基礎設施為目標。大約48%的數據中心受訪者表示DDoS攻擊期間，防火墻、IDS/IPS設備和負載均衡設備失效導致宕機，較2016年的43%有所增加。

[[234000]]

DDoS攻擊瞄準網絡基礎硬件

此外，針對企業網絡硬件設備等基礎設施的DDoS攻擊也大幅增加。調查中，有61%的企業表示，其網絡基礎設施遭到了攻擊，52%的防火墻或IPS設備在DDoS攻擊期間失去防御功能或導致設備宕機。

而在面向服務提供商的攻擊中，對基礎設施的攻擊則沒有如此普遍，統計顯示10%是以網絡基礎設施為目標的，另有15%則是以服務基礎設施為目標的。

2. 防御部署混合化

由于以防火墻、IPS設備為主的安全防護硬件在DDoS攻擊者發動的TCP狀態耗盡攻擊面前不堪一擊，無疑為企業網絡防護埋下了隱患。但盡管如此，這些基礎的網絡防護設備在抵御DDoS攻擊上仍舊是企業的重要選擇。如在服務提供商中，防火墻在最常見的DDoS緩解選項中排名第二，而在企業中，防火墻是82%受訪者的第一選擇。

因此，在防御DDoS攻擊策略上，如何避免單一依靠傳統的安全防護硬件，轉而部署能夠結合本地防護以及云端緩解功能的混合解決方案，才能做到更為有效的防護。借助智能DDoS緩解系統，當攻擊規模達到特定閾值時，其可發出的信號自動激活云端防御措施。這在現階段DDoS攻擊規模越來越大，攻擊方法涉及越來越多的應用層之時，變得尤為關鍵。

三、結語

面對逐年嚴峻的DDoS威脅，一個不爭事實是要構建出一個多層次智能綜合防御體系，才能為企業網絡及數據中心提供有效防護。而借助智能化、自動化本地內置防御措施，輔以云端清洗緩解方案的聯動，將在未來DDoS攻擊防護體系中發揮出強大威力。