黑客攻擊正變得越來越復雜：一方面DDoS攻擊比以前更多，攻擊手段更加多樣化，另一方面，對應用程序的攻擊造成的破壞比以往更大。9月23日下午，在由360主辦的中國互聯網安全大會（ISC）上，來自世界各地的網絡安全專家，就DDoS攻擊展開了熱烈討論，360公司的嘉賓唐會軍在題為《云服務防DDoS攻擊策略》的演講中，詳細解讀了如何通過云服務策略快捷方便的防范DDoS攻擊。

[[86241]] 

唐會軍

據CheckPoint統(tǒng)計，2012年網絡犯罪手法中，32%的攻擊事件使用了DDoS攻擊，65%的企業(yè)曾經受到黑客的攻擊，每次攻擊平均損失約21.4萬美元。DDoS已經成為互聯網中最高發(fā)的黑客攻擊手段，黑客會通過發(fā)起流量泛洪攻擊或虛假請求來中斷合法流量，從而導致那些依賴網絡和Web服務運營的企業(yè)發(fā)生嚴重的網絡中斷。調查機構Ponemon的最新調查顯示，DDoS攻擊是當前IT從業(yè)者遇到的最高風險的攻擊，并且已經成為美國首要的安全風險。

除此之外，DDoS攻擊的實施手段正變得越來越復雜，已經深入應用層，黑客無需網絡帶寬洪流的方式就能夠給企業(yè)造成更大的破壞。新的應用程序攻擊比以往更加隱蔽，難以檢測。

針對DDoS攻擊的復雜變化，唐會軍著重分析了最新的黑客DDoS攻擊手法，指出SYNFlood是目前最為主流的技術手段。目前，黑客往往會多個工具混合使用，以干擾企業(yè)網絡正常運行，進而竊取企業(yè)的機密數據。面對DDoS攻擊的復雜變化，唐會軍介紹說360公司已形成了一套完善的防御體系，分別從網絡接入、負載均衡和Web服務器三個方面介紹了分享360在防各種典型DDOS攻擊方面的一些策略。

DDoS攻擊最早開始于1996年，2002年開始在國內出現，2003年便初具規(guī)模。DDoS攻擊發(fā)展趨勢為從低層協(xié)議向高層協(xié)議發(fā)展，傳統(tǒng)DDoS攻擊利用協(xié)議漏洞或者洪水攻擊等對受害者發(fā)起攻擊，如網絡層Nuke攻擊利用發(fā)送畸形的ICMP數據包使得受害者當機，網絡層淚滴攻擊利用發(fā)送重疊的IP分片使得目標主機TCP/IP協(xié)議棧崩潰而拒絕服務。UDPFlood、TCPFlood等傳輸層的洪水攻擊利用發(fā)送超出受害者服務能力的大量數據包，消耗掉受害者的網絡帶寬、CPU處理能力、內存、網絡連接等有限的資源從而使受害者主機拒絕服務。隨著廣大學者、安全公司對傳統(tǒng)的DDoS攻擊進行深入的研究，目前低層的DDoS攻擊檢測已趨成熟，并且有很多的專門檢測DDoS攻擊的產品，能較有效地檢測這些低層的攻擊。網絡攻擊者為了躲避檢測，并讓DDoS攻擊具有更大的破壞力，逐漸將攻擊轉移到應用層。

面對DDoS如洪水猛獸一般襲來，企業(yè)的應對策略卻往往顯得蒼白無力。一些IT人員以為只要部署了防火墻和入侵防御系統(tǒng)（IPS）就可以高枕無憂。但事實上，傳統(tǒng)的防火墻和IPS等安全產品并非是針對DDoS威脅而設計的，而是專注于網絡數據的完整性和機密性，對于旨在打擊網絡及網絡服務的可用性的DDoS攻擊，IPS的效果十分有限?！度蚧A設施安全報告》顯示，77%的受訪對象表示在企業(yè)內部發(fā)現應用層攻擊，而49%的受訪者表示防火墻或IPS因DDoS攻擊而失靈。

目前盡管越來越多的企業(yè)已經意識到，在進行網絡安全規(guī)劃的時候，針對DDoS攻擊威脅的防范措施應該優(yōu)先考慮，但是依然有很多人錯誤地認為防火墻和入侵防御系統(tǒng)（IPS）等傳統(tǒng)安全工具可以完全應對DDoS攻擊。安全專家告誡這部分企業(yè)萬萬不能掉以輕心，完全依靠防火墻和IPS來防范愈演愈烈的DDoS攻擊已經很難，而通過云服務立體防御DDoS將可能會是未來企業(yè)安全的主要趨勢。