多層防御戰(zhàn)略、DNS服務器保護以及IT架構(gòu)的可見性是企業(yè)用戶免于DDos攻擊之痛與代價的最有效的防御方法。

單一的拒絕服務攻擊（Denial of service assaults）是從一臺計算機設備發(fā)起的，DDos攻擊涉及僵尸程序的滲透，也就是說這才是造成整個網(wǎng)絡安全最大的威脅。Verizon（全成威瑞森無線通訊，是美國第一家提供320萬像素照相手機配套銷售的無線營運商）在其2012年數(shù)據(jù)違規(guī)調(diào)查報告中稱這些攻擊是"比其他安全威脅更可怕、更具威脅性，無論是現(xiàn)實環(huán)境還是預計的情況下"。

[[66862]]

研究機構(gòu)Stratecast在最近的調(diào)研報告中也指出DDos攻擊每年呈20％到45％的增長，尤其是基于應用的DDos攻擊增長的趨勢已接近三位數(shù)。Stratecast進一步談到，通過DDoS的攻擊是黑客組織最頻繁使用的工具，時常作為多重技術(shù)攻擊戰(zhàn)略的一部分。

且研究專家發(fā)現(xiàn)DDOS攻擊不僅在攻擊頻率上增加，在帶寬侵蝕與攻擊持續(xù)性方面也同樣不斷的增加。十年前，舉例說明，50Gbps的攻擊在一年之中也就出現(xiàn)一兩次；現(xiàn)如今，諸如這樣的攻擊幾乎每周都有發(fā)生。

此外，攻擊形式也變得更加聰明隱晦，不再是簡單的運行一個發(fā)送泛洪數(shù)據(jù)的腳本，攻擊者開始通過一系列的操作，使之適應攻擊的類型或攻擊目標。

隨著更多的企業(yè)在其網(wǎng)絡中允許移動設備的使用，DDos攻擊將繼續(xù)激增。Fortinet的威脅研究實驗室FortiGuard Labs同時也發(fā)現(xiàn)移動僵尸例如Zitmo與傳統(tǒng)的PC上盛行的僵尸攻擊具有相同的特點與功能。FortiGuard Labs在2013年的威脅預測中也提出，拒絕服務攻擊出現(xiàn)新的形式，同時影響PC與移動設備。

DDos攻擊通常會造成很大的代價。除了因攻擊造成的停工損失收入外，受攻擊的公司還不得不忍受IT故障分析與恢復的時間、誤工的損失以及因此而造成的合同損失與公司品牌與聲譽的損失。

DDoS攻擊問題的不斷深化，表明企業(yè)必須采取必要的安全策略進行防御的必要性。料敵于先機也就是主動性防御，是所有安全戰(zhàn)略的防護策略，且可以減少被攻擊的風險。也就是說與其刪除所有的DDoS流量，不如集中在如何保持服務，尤其是重要的業(yè)務服務盡可能最小的遭受干擾?；诖?，業(yè)務是通過訪問網(wǎng)絡環(huán)境而開始的，從而才有回復的方案。這些交互中，應將備份與恢復考慮在內(nèi)，另外監(jiān)控同樣是快速高效恢復業(yè)務服務的方法之一。

對于主動性防御，需要三個關(guān)鍵步驟來完成多層防御戰(zhàn)略、DNS服務器保護以及IT架構(gòu)的可見性與控制性。

多層防御

多層防御戰(zhàn)略對于DDoS防御來講至關(guān)重要，且涉及專門的邊界解決方案用戶防御與減緩來自網(wǎng)絡各個方面的威脅。這些工具應該提供防欺騙、主機認證技術(shù)、數(shù)據(jù)層面與應用層的閥值、狀態(tài)與協(xié)議確認、基線執(zhí)行、閑置檢測、黑白名單與基于地理位置的訪問控制列表。

當考慮專門的DDoS解決方案時，公司需要確認這些方案不但能夠檢測基于應用層的DDoS攻擊且要非常高效阻斷常規(guī)、一般或者定制的DDoS攻擊技術(shù)與模式，且具有"學習"識別基于流量數(shù)據(jù)的可接受的以及異常的流量行為模式。流量分析是協(xié)助快速檢測并限制威脅的關(guān)鍵，同時可以減少誤報。

為了獲得更高效的操作，公司機構(gòu)也應該尋求提供高級的虛擬化與基于地理位置功能的DDoS解決方案。地理位置技術(shù)，在另一方面，可以使公司機構(gòu)阻斷來自于未知或可疑的不相關(guān)來源的惡意流量；通過削減來自公司機構(gòu)之外的地址信息流量可減少了終端服務器帶寬的負載與資源的消耗。

虛擬化實現(xiàn)后，策略管理員可以創(chuàng)建并審查在單個設備中的多個獨立的策略域，從而防止攻擊在一個網(wǎng)段影響輻射到其他網(wǎng)段。該機制的精髓在于防御預設而不是將賭注投擲在單一的一套策略中；管理員可以預先定義多重配置，在之前的策略不充分的情況下，應用更為嚴格的策略。

DNS服務器的安全防護

作為整體防御戰(zhàn)略的一部分，企業(yè)必須保護其最關(guān)鍵資產(chǎn)與架構(gòu)。許多公司機構(gòu)因web的可用性保留自己的DNS服務器，這也是在DDoS攻擊中被首先當作目標的系統(tǒng)。一旦DNS服務器被攻擊，攻擊者們便能夠快速拿下公司的web操作，并創(chuàng)建一個拒絕服務的環(huán)境。安全市場中有可用的DNS防御解決方案，可防御事務處理ID、UDP源端口以及隨機化的入侵。

保持IT架構(gòu)的可見性與控制性

公司機構(gòu)需要有一種能夠保持系統(tǒng)在攻擊前、攻擊中或攻擊后的警覺性。IT環(huán)境的全方位的可視性在業(yè)內(nèi)已不是什么秘密，這樣的情形下，管理員能夠檢測到網(wǎng)絡流量的異常以及快速發(fā)現(xiàn)攻擊，也使管理員具有更智能與更具有分析能力實現(xiàn)適當?shù)倪w移與安全預警。最佳的防御是具有報警系統(tǒng)能夠持續(xù)且自動的實現(xiàn)監(jiān)控，并在檢測到DDoS流量時發(fā)出報警并促發(fā)響應機制。

對網(wǎng)絡具有顆粒度的可視性與控制性是至關(guān)重要的。網(wǎng)絡的可視性可以協(xié)助管理員獲取攻擊的根源并阻斷流量溢出，同時合法的流量能夠自由的來去；以及使管理員能夠具有發(fā)起實時以及歷史攻擊分析的能力。另外，高級的源地址跟蹤功能可以定位非哄騙性攻擊的地址，甚至可以聯(lián)系到攻擊者的域名管理員，從而提供了防御的力度。

將注意力回歸到業(yè)務層面

如同其他安全威脅一樣，DDoS攻擊將持續(xù)的增長并在未來變得更為猖獗。DDoS技術(shù)不斷的演化也要求公司機構(gòu)具有應對這樣猖獗肆虐攻擊的前瞻性洞察力，并落實在實時防御行動。

因此，在遭遇DDoS威脅之前，首先要加強應對計劃以及網(wǎng)絡架構(gòu)訪問機制。鞏固關(guān)鍵服務器并對數(shù)據(jù)劃分優(yōu)先性安全訪問管理。同時，對網(wǎng)絡的全方位了解是實現(xiàn)最佳管理與監(jiān)控的基礎(chǔ)，也是使管理員能夠做出攻擊預警與防御機制，最快確定攻擊來源的關(guān)鍵。

只有做到多層防御戰(zhàn)略、DNS服務器保護以及IT架構(gòu)的可見性，企業(yè)才能使遠離DDoS攻擊，集中在業(yè)務的管理與處理。