DDoS攻擊已經(jīng)出現(xiàn)十多年了，當然，與過去相比，其動機和方法已經(jīng)發(fā)生了變化。一般說來，DDoS攻擊的目標是為了耗用網(wǎng)絡(luò)或應(yīng)用資源，從而影響業(yè)務(wù)進程或網(wǎng)站的可用性。或者，DDoS攻擊可用作“調(diào)虎離山”之計，吸引安全團隊的注意力，隱藏其不可告人的目的。

在可見的將來，容量耗盡型攻擊將一直是主要的攻擊類型，因為僵尸網(wǎng)絡(luò)很容易發(fā)送帶寬洪水或數(shù)據(jù)包洪水，使其遠遠超過多數(shù)企業(yè)的基礎(chǔ)設(shè)施所能處理的容量。最近的攻擊都利用了DNS安全中的漏洞，并成功地創(chuàng)造了大量的通信。有專家預(yù)計，將來針對應(yīng)用層和SSL的攻擊將日益增加，這種攻擊主要針對的是協(xié)議本身，以此作為一種消耗資源的策略，同時這種攻擊還使用加密通信來繞過企業(yè)的防御。

最初，DDoS的許多目標是網(wǎng)絡(luò)游戲和賭博網(wǎng)站，再到后來，黑客行動主義成為攻擊者的主要動機。但最近，由國家資助的攻擊開始針對金融機構(gòu)，并有著明顯的經(jīng)濟動機。雖然，一般說來，攻擊在各行業(yè)中都有發(fā)生，但最常見的攻擊是金融服務(wù)、電子商務(wù)、在線游戲、云服務(wù)等。此外，能源、高等教育、以媒體為中心的企業(yè)也被DDoS攻擊列為了重點。

DDoS攻擊常出現(xiàn)在各類新聞中，因為這種攻擊相對“高調(diào)”且對客戶的影響巨大。那些有針對性的隱秘攻擊主要表現(xiàn)在攻擊者滲透進入企業(yè)，在不被察覺的情況下竊取數(shù)據(jù)，這種攻擊往往可以長達幾個月或幾年的時間破壞企業(yè)而無人知曉。但對于DDoS攻擊，其結(jié)果可立即感覺到?？蛻魝儫o法訪問企業(yè)的網(wǎng)站或應(yīng)用，客戶和企業(yè)都會長時間地受到影響。最終，企業(yè)會由于DDoS攻擊而面臨著喪失收入、丟失客戶、丟掉品牌的風險。

給數(shù)據(jù)中心管理員的建議

專用的本地內(nèi)部解決方案是防御DDoS攻擊的關(guān)鍵要素。這類防御方案可以提供專用的資源，可以保護基礎(chǔ)架構(gòu)（例如，可以保護路由器、防火墻、IPS等）的其它要件免受惡意通信的攻擊。而且，專用的DDoS攻擊解決方案能夠深入挖掘通信的動態(tài)數(shù)據(jù)流，可以檢測機器生成的請求，并將資源請求與資源響應(yīng)關(guān)聯(lián)起來，進而檢測和減輕第七層（應(yīng)用層）的攻擊并限制那些誤報的（虛假的）情況。

第三層和第四層仍是當今DDoS攻擊最常見的攻擊目標，但針對第七層Web應(yīng)用的攻擊(例如，通過HTTP 的Get或Post請求)。這些以應(yīng)用程序為重點的攻擊往往更難以檢測。此時，企業(yè)的資源也許可以訪問，但運行速度極慢。同樣地，如果沒有專門用來解密和分析SSL通信的解決方案，那些利用加密SSL連接的攻擊也是難以檢測的。與容量耗盡型攻擊和基于應(yīng)用的攻擊相比較而言，面向SSL的威脅仍相對較少，但正呈上升趨勢。多數(shù)DDoS攻擊至少使用上文所述三種方法的兩種，并在其攻擊過程中不斷變換攻擊載體。

基于特征和基于行為的攻擊檢測方法的利弊

基于特征的防御對于快速高效地檢測已知的攻擊方法來說是很強健的。這種防御能夠在攻擊開始時就能夠檢測、丟棄、清除惡意通信。但在新的攻擊方法出現(xiàn)時，或是一種攻擊使用了合法通信實現(xiàn)惡意目的時，基于特征的防御就不太可能檢測到攻擊?；谛袨榈慕鉀Q方案可以更深入地分析通信類型以及資源如何響應(yīng)請求，并且可以將威脅情報與其它信息來源結(jié)合起來，不管通信是不是看似合法或是零日漏洞的結(jié)果，都可以決定通信是否惡意。

從歷史上看，使用這些解決方法的弊端是，這些方案往往必須部署在“帶外”，以減少遲延問題。此外，誤報（或虛假情報）也是一個潛在的問題。但是，硬件技術(shù)的發(fā)展已經(jīng)解決了延遲問題，而且大數(shù)據(jù)分析對威脅情報的影響也有助于減少假情報問題，這就使得基于行為的解決方案成為一種更可行的選擇，有時甚至是更令人滿意的選擇。

如何減少攻擊檢測的誤報風險

總體而言，誤報問題是IT管理員非常關(guān)心的。從歷史上看，Web應(yīng)用防火墻曾僅被用于檢測模式，原因就在于數(shù)據(jù)中心管理員們認為其誤報的風險太高。DDoS攻擊所帶來的問題是對客戶服務(wù)（既有內(nèi)部用戶又有外部用戶）的中斷。如果DDoS的防御解決方案經(jīng)常發(fā)生誤報，更有甚者，它還阻止合法用戶訪問資源，其結(jié)果與這些用戶在企業(yè)遭受DDoS攻擊時所導(dǎo)致的后果一樣。前面討論的品牌形象和收入的喪失等問題都有可能發(fā)生。

強健的情報分享是減少誤報的一種方法。能夠持續(xù)地監(jiān)視已知惡意IP地址的解決方案可以使企業(yè)部署更多的資源，以便于分析可疑的IP并在真正阻止通信之前進行更深入的分析。而且，利用雙向數(shù)據(jù)共享來持續(xù)且實時地改善其情報的解決方案可以有效地確保只阻止惡意通信。