近年來，大量由僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的DDoS利用了成千上萬的被感染的物聯(lián)網(wǎng)，通過向受害者網(wǎng)站發(fā)起大量的流量為手段，最終造成嚴(yán)重后果。常年以來的頑疾DDoS似乎難抵抗，那到底是否存在一些有效的遏制方法呢? 

Gartner預(yù)計(jì)，到2020年全球?qū)⒂谐^200億的物聯(lián)網(wǎng)設(shè)備產(chǎn)生聯(lián)接，并且日均還會(huì)有約550萬臺(tái)設(shè)備加入到網(wǎng)絡(luò)環(huán)境，屆時(shí)有超過半數(shù)的商業(yè)系統(tǒng)內(nèi)置物聯(lián)網(wǎng)組件。對(duì)此，傳統(tǒng)的桌面安全和本地防火墻是難以抵御新型網(wǎng)絡(luò)威脅的，黑客只需要截獲某一個(gè)連接工具就能切入到設(shè)備端。

越來越多的物聯(lián)網(wǎng)設(shè)備正淪為DDoS的盤中餐，隱私逐漸成為網(wǎng)絡(luò)交互的重要組成部分，在勒索軟件和各種流氓軟件隨處可見的今天，很多手段卻變得難以被探測(cè)，因此物聯(lián)網(wǎng)的加密措施至關(guān)重要。

考慮到物聯(lián)網(wǎng)的設(shè)備形態(tài)和功能千奇百怪，從終端、無線接入、網(wǎng)關(guān)，再到云平臺(tái)，涉及的環(huán)節(jié)眾多，要知道不少設(shè)備使用的操作系統(tǒng)也是不統(tǒng)一的，不是定制的就是非標(biāo)準(zhǔn)的，無形中為運(yùn)維人員增加了負(fù)擔(dān)。

一些支持物聯(lián)網(wǎng)的對(duì)象擁有動(dòng)態(tài)特性，例如汽車和車輛，或其他控制關(guān)鍵系統(tǒng)的設(shè)備。賽門鐵克預(yù)計(jì)，針對(duì)控制關(guān)鍵基礎(chǔ)設(shè)施的物聯(lián)網(wǎng)設(shè)備的數(shù)量將不斷增加，如配電與通信網(wǎng)絡(luò)。

隨著更多的員工以個(gè)人為單位使用智能音箱、穿戴設(shè)備、智能家居等產(chǎn)品，安全風(fēng)險(xiǎn)的入口也越來越多，而且像工業(yè)類企業(yè)用到的傳感器也越來越細(xì)分，包括具有WiFi功能的恒溫器控制的采暖通風(fēng)和HVAC系統(tǒng)等等，這些傳感器在接入核心網(wǎng)的時(shí)候很可能沒有經(jīng)過IT運(yùn)維團(tuán)隊(duì)的授權(quán)。一項(xiàng)調(diào)查顯示，大多數(shù)企業(yè)并沒有覺察到物聯(lián)網(wǎng)或工業(yè)物聯(lián)網(wǎng)的無線網(wǎng)絡(luò)，與企業(yè)基礎(chǔ)設(shè)施是分離的。

當(dāng)然，敲詐勒索對(duì)DDoS世界來說并不陌生，但要看看黑客是如何利用敲詐勒索的也很有意思。早期的勒索程序像DD4BC，會(huì)發(fā)送不知名的電子郵件，包括支付信息，日期和截止日期，如果受害者合作不能令人滿意，就可能會(huì)遭殃了。

像DDoS世界中的Memcached，黑客廣泛而迅速地采用了各種規(guī)模的跨組織和行業(yè)威脅，并且不久就能想出將威脅轉(zhuǎn)化為商機(jī)的方法。

另一個(gè)趨勢(shì)是，2019年，越來越多的黑客將試圖訪問家庭路由器與其他物聯(lián)網(wǎng)中心，以捕獲經(jīng)過這些路由器或中心的數(shù)據(jù)。例如，非法進(jìn)入這些路由器中的惡意軟件可以竊取銀行憑證、捕獲信用卡號(hào)或向用戶顯示用于盜取敏感信息的虛假惡意網(wǎng)頁。也就是說，黑客通過新的方式利用家庭Wi-Fi路由器，以及其他安全性較差的物聯(lián)網(wǎng)設(shè)備來進(jìn)行威脅。

由此，引伸出來的重要問題是，到底怎樣才能有效抵御或者說有效遏制DDoS呢?首先，用戶要去嘗試了解威脅來自于何處，原因是黑客所調(diào)用的IP地址并不一定是真實(shí)的，一旦掌握了真實(shí)的地址段，可以找到相應(yīng)的碼段進(jìn)行隔離，或者臨時(shí)過濾。同時(shí)，如果連接核心網(wǎng)的端口數(shù)量有限，也可以將端口進(jìn)行屏蔽。

相較被威脅之后的疲于應(yīng)對(duì)，有完善的安全機(jī)制無疑要更好。有些人可能會(huì)選擇大規(guī)模部署網(wǎng)絡(luò)基礎(chǔ)設(shè)施，但這種辦法只能拖延黑客的進(jìn)度，并不能解決問題。與之相比的話，還不如去“屏蔽”那些區(qū)域性或者說臨時(shí)性的地址段，減少受風(fēng)險(xiǎn)面。

此外，還可以在骨干網(wǎng)、核心網(wǎng)的節(jié)點(diǎn)設(shè)置防護(hù)墻，可以讓主機(jī)減少被直接威脅的可能?？紤]到核心節(jié)點(diǎn)的帶寬通常較高，容易成為黑客重點(diǎn)“關(guān)照”的位置，所以定期掃描現(xiàn)有的主節(jié)點(diǎn)，發(fā)現(xiàn)可能導(dǎo)致風(fēng)險(xiǎn)的漏洞，就變得非常重要。

根據(jù)此前與從安全廠商了解到的消息，多層防護(hù)DDoS的方法仍然適用。例如，駐地端防護(hù)設(shè)備必須24小時(shí)全天候主動(dòng)偵測(cè)各類型DDoS，包括流量、狀態(tài)耗盡與應(yīng)用層;為了避免出現(xiàn)上述防火墻等設(shè)備存在的弊端，用戶應(yīng)該選擇無狀態(tài)表架構(gòu)的防護(hù)設(shè)備利用云平臺(tái)、大數(shù)據(jù)分析，積累并迅速察覺特征碼，建立指紋知識(shí)庫，以協(xié)助企業(yè)及時(shí)偵測(cè)并阻擋惡意流量。

像以上的抵御方法還有一些， 如 限制SYN/ICMP流量、過濾所有RFC1918 IP地址等等，但歸根結(jié)底，還是要從根源上進(jìn)行有效遏制，不要等出了問題再去想辦法，這也是DDoS不絕于耳”的原因。