DDoS雖然不是一個(gè)新事物，即使是2016年10月21日搞癱美國(guó)半個(gè)互聯(lián)網(wǎng)的Mirai DDoS攻擊，也只是讓很多人的小心臟稍微顫抖了幾下，然后又恢復(fù)了往日的平靜。大家感覺(jué)DDoS只是一時(shí)的攻擊，不是時(shí)刻刀架在脖子上。下面的8大幻想還在很多客戶(hù)的腦海里打轉(zhuǎn)：

關(guān)于DDoS的八大幻想

幻想1：公司數(shù)據(jù)中心已經(jīng)有了DDoS防護(hù)，就可以輕松抵擋DDoS來(lái)犯?

事實(shí)果真如此嗎?最近業(yè)界發(fā)現(xiàn)的最大的DDoS攻擊峰值流量已經(jīng)達(dá)到500Gbps，幾乎沒(méi)有哪個(gè)客戶(hù)可以通過(guò)自己的數(shù)據(jù)中心部署的DDoS防護(hù)來(lái)抵擋住這么大流量的攻擊。并且過(guò)去幾年DDoS的攻擊流量不斷提升，特別是IoT的廣泛部署，更是方便了僵尸的快速集結(jié)，降低了DDoS攻擊的成本，提升了DDoS攻擊危害。

今天云清洗和本地?cái)?shù)據(jù)中心的雙重防護(hù)才是出路，這已經(jīng)成為了DDoS業(yè)界共識(shí)。

全球DDoS峰值流量進(jìn)展

數(shù)據(jù)來(lái)源：Arbor全球架構(gòu)安全第11年年度報(bào)告

幻想2：我們公司不會(huì)成為DDoS攻擊的對(duì)象?

雖然90%的DDoS攻擊針對(duì)的是專(zhuān)業(yè)領(lǐng)域，其中81%的DDoS攻擊針對(duì)教育用戶(hù)。但任何用戶(hù)都不能掉以輕心，因?yàn)殡S著各個(gè)行業(yè)移動(dòng)化、數(shù)字化和互聯(lián)網(wǎng)化的加速，任何用戶(hù)都很容易成為DDoS攻擊的對(duì)象?；谠贫说腄DoS防護(hù)成為IT投資中不可或缺的一部分，就像今天的各種保險(xiǎn)一樣。

幻想3：公司的防火墻可以抵擋DDoS攻擊?

最近的調(diào)研表明，超過(guò)40%的DDoS攻擊可以輕松跨越今天的防火墻，因?yàn)榉阑饓虸PS根本不能區(qū)分流量到底是來(lái)自惡意用戶(hù)還是合法用戶(hù)。同時(shí)，企業(yè)防火墻也完全不能抵擋大流量的DDoS攻擊，還是不要期望防火墻幫你抵擋DDoS，DDoS需要專(zhuān)門(mén)的清洗中心來(lái)抵御。

幻想4: DDoS攻擊很簡(jiǎn)單，都是單向量攻擊?

其實(shí)78%的DDoS攻擊都是多向量攻擊，防護(hù)非常困難，需要借助復(fù)雜工具和知識(shí)進(jìn)行有效防御。多向量DDoS攻擊，會(huì)尋找防御鏈中的最薄弱點(diǎn)進(jìn)行攻擊，影響在線(xiàn)服務(wù)的正常進(jìn)行，這對(duì)于以在線(xiàn)業(yè)務(wù)為收入的企業(yè)來(lái)講，打擊是摧毀性的。多向量DDoS攻擊因其規(guī)模大、復(fù)雜度高，使得傳統(tǒng)DDoS解決方案在防御時(shí)捉襟見(jiàn)肘?；旌螪DoS防護(hù)是目前對(duì)多向量DDoS攻擊最有效的防護(hù)方法。

幻想5：我們?cè)诰€(xiàn)業(yè)務(wù)少，應(yīng)該不會(huì)遭遇DDoS攻擊?

其實(shí)，DDoS攻擊從來(lái)不分企業(yè)大小，任何規(guī)模的企業(yè)都可能遭受DDoS攻擊。即使今天的企業(yè)規(guī)模不大，也千萬(wàn)不能僥幸的認(rèn)為自己是天然免疫DDoS攻擊。

幻想6: DDoS攻擊就是暴力攻擊而已?

其實(shí)DDoS攻擊不僅是暴力攻擊，還會(huì)和針對(duì)應(yīng)用攻擊等相結(jié)合，使得DDoS攻擊的破壞性極劇擴(kuò)大。最新的調(diào)研表明，大約19%的DDoS攻擊會(huì)針對(duì)應(yīng)用層進(jìn)行攻擊，而應(yīng)用層的防護(hù)需求越來(lái)越迫切。

幻想7: DDoS方案不值得投資?

調(diào)研表明，2015年45%的組織都經(jīng)受過(guò)至少一次DDoS攻擊，平均每次DDoS攻擊造成的損失達(dá)到每小時(shí)20-50萬(wàn)美金。DDoS絕對(duì)值得引起大家的注意，特別是在線(xiàn)業(yè)務(wù)急劇成長(zhǎng)的企業(yè)，千萬(wàn)不能掉以輕心。

幻想8: DDoS攻擊沒(méi)有直接財(cái)務(wù)損失?

其實(shí)，90%的多向量網(wǎng)絡(luò)攻擊都會(huì)以DDoS作為煙幕彈來(lái)進(jìn)行掩護(hù)，很多時(shí)候發(fā)生了DDoS攻擊的同時(shí)，你要小心后臺(tái)是不是有人在盜取用戶(hù)賬戶(hù)、獲取關(guān)鍵財(cái)務(wù)信息，從而進(jìn)行金融犯罪等。

檢測(cè)和緩解DDoS威脅

DDoS雖然已經(jīng)有很多年的歷史，但隨著互聯(lián)網(wǎng)+的不斷推進(jìn)，它的危害越來(lái)越大，任何組織都應(yīng)該馬上開(kāi)始考慮自己的DDoS防護(hù)方案，而不是成為DDoS攻擊的炮灰，也盡量避免DDoS攻擊后再進(jìn)行亡羊補(bǔ)牢。

安全專(zhuān)業(yè)人可以通過(guò)確認(rèn)以下幾種主要的攻擊類(lèi)別，就可以減少前所未知的攻擊途徑：

1. 流量式：洪水攻擊
2. 運(yùn)算非對(duì)稱(chēng)：消耗CPU周期
3. 狀態(tài)式非對(duì)稱(chēng)：濫用內(nèi)存
4. 基于漏洞：利用軟件隱患
5. 混合式DDoS：多種攻擊途徑的結(jié)合