在NETSCOUT Arbor發(fā)布的《第13次年度全球基礎設施安全報告》中，受訪者被問到他們部署了哪些安全措施來抵御DDoS攻擊，在企業(yè)受訪者中，82%采用防火墻，57%采用入侵檢測/預防系統(tǒng)(IDS/IPS)，而采用智能DDoS緩解系統(tǒng)的只占28%。

在NETSCOUT Arbor發(fā)布的《第13次年度全球基礎設施安全報告》中，受訪者被問到他們部署了哪些安全措施來抵御DDoS攻擊，在企業(yè)受訪者中，82%采用防火墻，57%采用入侵檢測/預防系統(tǒng)(IDS/IPS)，而采用智能DDoS緩解系統(tǒng)的只占28%。

防火墻和IDS/IPS在安全體系中無疑占有一席之地，它們是抵御攻擊的第一道防線，可以識別身份盜用或商業(yè)間諜等攻擊活動。但是，它們自身不足以抵御拒絕服務攻擊。實際上，它們經(jīng)常成為危害網(wǎng)絡基礎設施的DDoS攻擊的首要攻擊目標。

安全決策常常反映的是一種“打鉤”方法：我們需要具備哪些工具？在必備清單上，防火墻等邊界防御措施往往排在前列。這種方法通常是出于合規(guī)考慮：監(jiān)管者要求我們必須具備什么？經(jīng)常是，組織開始安慰自己，相信只要合規(guī)就能確保安全，于是他們選擇了清單上所有的解決方案。

企業(yè)不應從清單上選擇解決方案，而是需要評估自己在DDoS威脅造成的風險中所處的階段。換句話說，“我們面對的是什么樣的DDoS風險，以及我們是否已準備好應對風險？”以下是一些可能的答案：

容量耗盡DDoS攻擊

這種類型的DDoS攻擊旨在消耗目標中或目標與互聯(lián)網(wǎng)其他部分之間的帶寬，它通過壓倒性的力量達到阻止服務訪問和交付的目的。這類攻擊的規(guī)模正在擴大，1T以上的攻擊正在成為新的現(xiàn)實。抵御這類攻擊需要具備相應容量的緩解解決方案，這是因為其絕對規(guī)模通常位于云端。

TCP狀態(tài)耗盡攻擊

這類攻擊試圖消耗許多基礎設施組件中存在的連接狀態(tài)表，例如負載均衡器、防火墻和應用服務器。即使能夠維持數(shù)百萬連接的大容量設備也可能被這類攻擊耗盡。

應用層攻擊

這類攻擊的目標是位于第七層（也被稱為應用層）的特定應用或服務，它們危害極大，因為只需要一臺生成低流量速率的攻擊設備就能產(chǎn)生十分有效的攻擊效果，這讓它們變得非常難以檢測和緩解。抵御這類攻擊要求設備能夠區(qū)分進入網(wǎng)絡的合法數(shù)據(jù)流量和經(jīng)過巧妙偽裝的威脅，由于流量規(guī)模和速度都在增大，這并不容易做到。

多層、多向量攻擊

在一次持續(xù)攻擊過程中，DDoS攻擊越來越多地組合利用以上三種攻擊類別或它們的變體，這讓防御工作變得復雜而無所適從。根據(jù)最近的一次報道，智利最大銀行遭受的攻擊導致大約9500臺服務器和工作站無法使用，就其本身而言，這是一次重大的中斷事故，但事實證明這只是攻擊者發(fā)起的佯攻，從而實現(xiàn)自己的真正目的：通過SWIFT網(wǎng)絡從銀行竊取1000萬美元。

內(nèi)部出站攻擊

在與防御者的較量中，經(jīng)驗豐富的攻擊者正在扭轉(zhuǎn)局面，他們在企業(yè)網(wǎng)絡中植入惡意軟件，這些惡意軟件可用于對內(nèi)部目標和外部目標發(fā)起攻擊。惡意攻擊者尤其喜歡利用物聯(lián)網(wǎng)設備混入企業(yè)網(wǎng)絡，在最近的大型攻擊中，物聯(lián)網(wǎng)僵尸網(wǎng)絡的表現(xiàn)非常突出。

新威脅

似乎上面的威脅還不夠多，全球范圍內(nèi)持續(xù)有新威脅出現(xiàn)。在抵御這些威脅時要保持領先需要掌握全球威脅情報。

強有力的防御措施需要能夠應對所有威脅類型，忽略任何一個都會讓您暴露在持續(xù)的風險中。根據(jù)全球威脅情報警報并由自動化技術提供支持的混合或分層防御措施結(jié)合使用云端和本地檢測和緩解技術，被廣泛應用成為最佳做法。