DDoS攻擊已經(jīng)出現(xiàn)十多年了，當(dāng)然，與過(guò)去相比，其動(dòng)機(jī)和方法已經(jīng)發(fā)生了變化。一般說(shuō)來(lái)，DDoS攻擊的目標(biāo)是為了耗用網(wǎng)絡(luò)或應(yīng)用資源，從而影響業(yè)務(wù)進(jìn)程或網(wǎng)站的可用性。或者，DDoS攻擊可用作“調(diào)虎離山”之計(jì)，吸引安全團(tuán)隊(duì)的注意力，隱藏其不可告人的目的。

在可見(jiàn)的將來(lái)，容量耗盡型攻擊將一直是主要的攻擊類型，因?yàn)榻┦W(wǎng)絡(luò)很容易發(fā)送帶寬洪水或數(shù)據(jù)包洪水，使其遠(yuǎn)遠(yuǎn)超過(guò)多數(shù)企業(yè)的基礎(chǔ)設(shè)施所能處理的容量。最近的攻擊都利用了DNS安全中的漏洞，并成功地創(chuàng)造了大量的通信。有專家預(yù)計(jì)，將來(lái)針對(duì)應(yīng)用層和SSL的攻擊將日益增加，這種攻擊主要針對(duì)的是協(xié)議本身，以此作為一種消耗資源的策略，同時(shí)這種攻擊還使用加密通信來(lái)繞過(guò)企業(yè)的防御。

最初，DDoS的許多目標(biāo)是網(wǎng)絡(luò)游戲和賭博網(wǎng)站，再到后來(lái)，黑客行動(dòng)主義成為攻擊者的主要?jiǎng)訖C(jī)。但最近，由國(guó)家資助的攻擊開(kāi)始針對(duì)金融機(jī)構(gòu)，并有著明顯的經(jīng)濟(jì)動(dòng)機(jī)。雖然，一般說(shuō)來(lái)，攻擊在各行業(yè)中都有發(fā)生，但最常見(jiàn)的攻擊是金融服務(wù)、電子商務(wù)、在線游戲、云服務(wù)等。此外，能源、高等教育、以媒體為中心的企業(yè)也被DDoS攻擊列為了重點(diǎn)。

DDoS攻擊常出現(xiàn)在各類新聞中，因?yàn)檫@種攻擊相對(duì)“高調(diào)”且對(duì)客戶的影響巨大。那些有針對(duì)性的隱秘攻擊主要表現(xiàn)在攻擊者滲透進(jìn)入企業(yè)，在不被察覺(jué)的情況下竊取數(shù)據(jù)，這種攻擊往往可以長(zhǎng)達(dá)幾個(gè)月或幾年的時(shí)間破壞企業(yè)而無(wú)人知曉。但對(duì)于DDoS攻擊，其結(jié)果可立即感覺(jué)到?？蛻魝儫o(wú)法訪問(wèn)企業(yè)的網(wǎng)站或應(yīng)用，客戶和企業(yè)都會(huì)長(zhǎng)時(shí)間地受到影響。最終，企業(yè)會(huì)由于DDoS攻擊而面臨著喪失收入、丟失客戶、丟掉品牌的風(fēng)險(xiǎn)。

給數(shù)據(jù)中心管理員的建議

專用的本地內(nèi)部解決方案是防御DDoS攻擊的關(guān)鍵要素。這類防御方案可以提供專用的資源，可以保護(hù)基礎(chǔ)架構(gòu)（例如，可以保護(hù)路由器、防火墻、IPS等）的其它要件免受惡意通信的攻擊。而且，專用的DDoS攻擊解決方案能夠深入挖掘通信的動(dòng)態(tài)數(shù)據(jù)流，可以檢測(cè)機(jī)器生成的請(qǐng)求，并將資源請(qǐng)求與資源響應(yīng)關(guān)聯(lián)起來(lái)，進(jìn)而檢測(cè)和減輕第七層（應(yīng)用層）的攻擊并限制那些誤報(bào)的（虛假的）情況。

第三層和第四層仍是當(dāng)今DDoS攻擊最常見(jiàn)的攻擊目標(biāo)，但針對(duì)第七層Web應(yīng)用的攻擊(例如，通過(guò)HTTP 的Get或Post請(qǐng)求)。這些以應(yīng)用程序?yàn)橹攸c(diǎn)的攻擊往往更難以檢測(cè)。此時(shí)，企業(yè)的資源也許可以訪問(wèn)，但運(yùn)行速度極慢。同樣地，如果沒(méi)有專門用來(lái)解密和分析SSL通信的解決方案，那些利用加密SSL連接的攻擊也是難以檢測(cè)的。與容量耗盡型攻擊和基于應(yīng)用的攻擊相比較而言，面向SSL的威脅仍相對(duì)較少，但正呈上升趨勢(shì)。多數(shù)DDoS攻擊至少使用上文所述三種方法的兩種，并在其攻擊過(guò)程中不斷變換攻擊載體。

基于特征和基于行為的攻擊檢測(cè)方法的利弊

基于特征的防御對(duì)于快速高效地檢測(cè)已知的攻擊方法來(lái)說(shuō)是很強(qiáng)健的。這種防御能夠在攻擊開(kāi)始時(shí)就能夠檢測(cè)、丟棄、清除惡意通信。但在新的攻擊方法出現(xiàn)時(shí)，或是一種攻擊使用了合法通信實(shí)現(xiàn)惡意目的時(shí)，基于特征的防御就不太可能檢測(cè)到攻擊?；谛袨榈慕鉀Q方案可以更深入地分析通信類型以及資源如何響應(yīng)請(qǐng)求，并且可以將威脅情報(bào)與其它信息來(lái)源結(jié)合起來(lái)，不管通信是不是看似合法或是零日漏洞的結(jié)果，都可以決定通信是否惡意。

從歷史上看，使用這些解決方法的弊端是，這些方案往往必須部署在“帶外”，以減少遲延問(wèn)題。此外，誤報(bào)（或虛假情報(bào)）也是一個(gè)潛在的問(wèn)題。但是，硬件技術(shù)的發(fā)展已經(jīng)解決了延遲問(wèn)題，而且大數(shù)據(jù)分析對(duì)威脅情報(bào)的影響也有助于減少假情報(bào)問(wèn)題，這就使得基于行為的解決方案成為一種更可行的選擇，有時(shí)甚至是更令人滿意的選擇。

如何減少攻擊檢測(cè)的誤報(bào)風(fēng)險(xiǎn)

總體而言，誤報(bào)問(wèn)題是IT管理員非常關(guān)心的。從歷史上看，Web應(yīng)用防火墻曾僅被用于檢測(cè)模式，原因就在于數(shù)據(jù)中心管理員們認(rèn)為其誤報(bào)的風(fēng)險(xiǎn)太高。DDoS攻擊所帶來(lái)的問(wèn)題是對(duì)客戶服務(wù)（既有內(nèi)部用戶又有外部用戶）的中斷。如果DDoS的防御解決方案經(jīng)常發(fā)生誤報(bào)，更有甚者，它還阻止合法用戶訪問(wèn)資源，其結(jié)果與這些用戶在企業(yè)遭受DDoS攻擊時(shí)所導(dǎo)致的后果一樣。前面討論的品牌形象和收入的喪失等問(wèn)題都有可能發(fā)生。

強(qiáng)健的情報(bào)分享是減少誤報(bào)的一種方法。能夠持續(xù)地監(jiān)視已知惡意IP地址的解決方案可以使企業(yè)部署更多的資源，以便于分析可疑的IP并在真正阻止通信之前進(jìn)行更深入的分析。而且，利用雙向數(shù)據(jù)共享來(lái)持續(xù)且實(shí)時(shí)地改善其情報(bào)的解決方案可以有效地確保只阻止惡意通信。