最近《紐約時報》報道了反垃圾郵件組織Spamhaus如何深受史上最大型DDoS攻擊之害。很少有人會忘記那次針對全球金融機構JP Morgan Chase，Wells Fargo，美國銀行和美國運通等的定向攻擊，這次攻擊讓這些公司的業(yè)務癱瘓了數(shù)小時，造成的損失達數(shù)百萬美金。

這還沒算上其他數(shù)以千計沒登上新聞頭版的DDoS攻擊。簡而言之，沒有人可以置身事外。借助新式的復雜的攻擊工具，DDoS威脅變得比以往更為強大。

除了變強和衍生更快以外，DDoS現(xiàn)在也變得越來越智能。許多當代應用層攻擊都不是想發(fā)起大規(guī)模的攻擊，而是想從根本的應用邏輯層處進行秘密定向攻擊。和舊的DDoS攻擊不同，許多新的DDoS攻擊都側重某些特定威脅向量和目標。一旦破壞成功，威脅就會繞開安全基礎架構。

從某種程度而言，每個組織都將被迫投資某種形式的DDoS防護或是可能破壞其系統(tǒng)，中斷其業(yè)務的威脅。而當一個組織向市場尋求專業(yè)的DDoS安全方案時該作何選擇呢?

首先，是可視性。你無法為看不到的東西提供保護。在采取任何措施之前，用戶需要一個整體方案，此方案要讓用戶看清所處的IT環(huán)境，還要授予IT管理人員完整的控制權。

合適的方案不僅要可以識別攻擊，還要能夠鎖定攻擊，并分析DDoS惡意軟件。為了達到這個目的，方案就得包含一種指示威脅自然屬性和嚴重程度的通知和警告機制，并為IT管理人員提供緩解措施。

一旦檢測到威脅，安全管理人員要對其進行攔截并進行根除。合適的方案還應該包含消除威脅的技術，以解決APT，蠕蟲，DDoS，僵尸網(wǎng)絡以及內向或外向型攻擊。

一份全面的DDoS方案還應該包含報告工具和日志及關聯(lián)機制。這些信息可以讓IT管理人員對威脅的全貌以及組織的安全態(tài)勢有更清晰的了解，這樣才能分析復雜的惡意軟件。而且，由于缺乏嚴格的服從條款，所以就更需要報告功能滿足審計員的需求，并避免因違規(guī)導致的罰款。

強大的攻擊需要更強大的防御方案。用戶需要一個具備足夠帶寬的DDoS安全方案，防止攻擊者控制網(wǎng)絡。這樣的方案還應該結合帶寬管理特性，使方案供應商和IT管理人員可以貫徹政策，并根據(jù)用戶，集團，時間和其他標準調節(jié)預定義的帶寬。

幾乎每個企業(yè)都面臨著云，虛擬化和內部部署基礎設施的復雜性。為了解決復雜的多平臺環(huán)境，如果一個DDoS方案不具備隔離和虛擬化網(wǎng)絡流量的能力，就不能稱之為完整。因為隔離網(wǎng)絡流量并將之虛擬化的性能可以讓安管人員對多租戶環(huán)境的不同部分使用不同的策略。

組合成多層級方法的各種工具可以緊緊咬住隱秘的DDoS攻擊。雖然在復雜的新式DDoS惡意軟件面前，沒有哪種方案是百分百安全，但是其保護作用的防護層會降低用戶受損的幾率。

原文地址：http://security.networksasia.net/content/multi-layered-approach-combating-ddos-attacks