一、DDoS走向大眾化、常態(tài)化

以簡(jiǎn)單粗暴著稱的DDoS攻擊，于今年早些時(shí)候成功突破了T比特級(jí)攻擊流量，再次刷新了記錄。對(duì)于企業(yè)來(lái)說(shuō)，如何在持續(xù)增長(zhǎng)的攻擊規(guī)模下求得安全，擺脫自身網(wǎng)絡(luò)安全設(shè)備的擴(kuò)展性瓶頸，了解其四種變化就變得尤為關(guān)鍵了。

[[233999]]

1. DDoS走向大眾化

令人想不到是，最早能夠追溯到1996年年初的分布式拒絕服務(wù)攻擊，在經(jīng)過(guò)了漫長(zhǎng)的22年后，依然是備受攻擊者追捧的一種網(wǎng)絡(luò)攻擊手段。而鑒于DDoS平臺(tái)工具在互聯(lián)網(wǎng)上可用性越來(lái)越高，DDoS攻擊正在轉(zhuǎn)向軟件即服務(wù)(SaaS)模式，攻擊者可以通過(guò)付費(fèi)雇傭的形式，對(duì)目標(biāo)服務(wù)器展開定制化攻擊。

可以說(shuō)，花錢招的“打手”越多，DDoS攻擊流量越大、持續(xù)時(shí)間越長(zhǎng)，攻擊效果也越明顯，已變成當(dāng)前企業(yè)必須面對(duì)的一大網(wǎng)絡(luò)安全頑疾。更可怕的是，與其他惡意軟件即服務(wù)的模式不同，不少DDoS攻擊平臺(tái)都以半合法的身份在互聯(lián)網(wǎng)上存在。雇傭者甚至不需要去網(wǎng)絡(luò)黑市上尋找，直接百度搜索就能在第一頁(yè)上看到。

號(hào)稱DDoS平臺(tái)的隨處可見(jiàn)

這些平臺(tái)往往自稱可提供“網(wǎng)站壓力測(cè)試”，用于測(cè)試網(wǎng)站服務(wù)器和帶寬對(duì)于訪問(wèn)流量的承載能力。今年5月份被國(guó)外多家執(zhí)法部門聯(lián)合一舉端掉的webstresser.org，正是這樣的一個(gè)披著“合法”外衣的DDoS攻擊平臺(tái)。

2. DDoS攻擊常態(tài)化

今天的DDoS攻擊不僅越來(lái)越大眾化，更快速向常態(tài)化過(guò)渡。有數(shù)據(jù)顯示，2017年共發(fā)生750萬(wàn)次DDoS攻擊，約占全球互聯(lián)網(wǎng)流量的三分之一。受訪的服務(wù)提供商表示，經(jīng)歷了越來(lái)越多的容量耗盡攻擊，還有受訪企業(yè)表示遭受的隱身應(yīng)用層攻擊也增加了30%。

同時(shí)，59%的服務(wù)提供商和48%的企業(yè)則經(jīng)歷了多向量攻擊，要比2016年提升20%。而這些多向量攻擊在單次持續(xù)性的攻擊中結(jié)合了大容量泛洪、應(yīng)用層攻擊和TCP狀態(tài)耗盡攻擊，導(dǎo)致攻擊防護(hù)越來(lái)越復(fù)雜，往往令攻擊者更容易得手。

在DDoS攻擊成為常態(tài)之際，其攻擊規(guī)模也在逐年增長(zhǎng)。今年3月份針對(duì)Github的T比特級(jí)DDoS攻擊后，將DDoS攻擊正式拉進(jìn)了“T比特攻擊時(shí)代”。

二、攻擊目標(biāo)硬件化 防御部署混合化

1. 攻擊目標(biāo)硬件化

然而隨著DDoS攻擊規(guī)模的日益擴(kuò)大，其所覆蓋到的目標(biāo)也不斷變化。有調(diào)查指出，從2017年以來(lái)，數(shù)據(jù)中心運(yùn)營(yíng)商表示36%的入站攻擊以路由器、防火墻、負(fù)載均衡設(shè)備和其他數(shù)據(jù)中心基礎(chǔ)設(shè)施為目標(biāo)。大約48%的數(shù)據(jù)中心受訪者表示DDoS攻擊期間，防火墻、IDS/IPS設(shè)備和負(fù)載均衡設(shè)備失效導(dǎo)致宕機(jī)，較2016年的43%有所增加。

[[234000]]

DDoS攻擊瞄準(zhǔn)網(wǎng)絡(luò)基礎(chǔ)硬件

此外，針對(duì)企業(yè)網(wǎng)絡(luò)硬件設(shè)備等基礎(chǔ)設(shè)施的DDoS攻擊也大幅增加。調(diào)查中，有61%的企業(yè)表示，其網(wǎng)絡(luò)基礎(chǔ)設(shè)施遭到了攻擊，52%的防火墻或IPS設(shè)備在DDoS攻擊期間失去防御功能或?qū)е略O(shè)備宕機(jī)。

而在面向服務(wù)提供商的攻擊中，對(duì)基礎(chǔ)設(shè)施的攻擊則沒(méi)有如此普遍，統(tǒng)計(jì)顯示10%是以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為目標(biāo)的，另有15%則是以服務(wù)基礎(chǔ)設(shè)施為目標(biāo)的。

2. 防御部署混合化

由于以防火墻、IPS設(shè)備為主的安全防護(hù)硬件在DDoS攻擊者發(fā)動(dòng)的TCP狀態(tài)耗盡攻擊面前不堪一擊，無(wú)疑為企業(yè)網(wǎng)絡(luò)防護(hù)埋下了隱患。但盡管如此，這些基礎(chǔ)的網(wǎng)絡(luò)防護(hù)設(shè)備在抵御DDoS攻擊上仍舊是企業(yè)的重要選擇。如在服務(wù)提供商中，防火墻在最常見(jiàn)的DDoS緩解選項(xiàng)中排名第二，而在企業(yè)中，防火墻是82%受訪者的第一選擇。

因此，在防御DDoS攻擊策略上，如何避免單一依靠傳統(tǒng)的安全防護(hù)硬件，轉(zhuǎn)而部署能夠結(jié)合本地防護(hù)以及云端緩解功能的混合解決方案，才能做到更為有效的防護(hù)。借助智能DDoS緩解系統(tǒng)，當(dāng)攻擊規(guī)模達(dá)到特定閾值時(shí)，其可發(fā)出的信號(hào)自動(dòng)激活云端防御措施。這在現(xiàn)階段DDoS攻擊規(guī)模越來(lái)越大，攻擊方法涉及越來(lái)越多的應(yīng)用層之時(shí)，變得尤為關(guān)鍵。

三、結(jié)語(yǔ)

面對(duì)逐年嚴(yán)峻的DDoS威脅，一個(gè)不爭(zhēng)事實(shí)是要構(gòu)建出一個(gè)多層次智能綜合防御體系，才能為企業(yè)網(wǎng)絡(luò)及數(shù)據(jù)中心提供有效防護(hù)。而借助智能化、自動(dòng)化本地內(nèi)置防御措施，輔以云端清洗緩解方案的聯(lián)動(dòng)，將在未來(lái)DDoS攻擊防護(hù)體系中發(fā)揮出強(qiáng)大威力。