DDoS攻擊增多(duō) 淺析防禦之“道(dào)“

随著(zhe)企業(yè)業(yè)務的(φ® "de)互聯網全球化(huà)開(kāi)展，全球範圍內(nèi)的(de)網§←φ≥絡犯罪也(yě)以爆發式增長(cháng)的(de)态勢緊随而來(αε≥lái)。其中DDoS由于低(dī)成本、易實施等特點成為(wè÷≥i)不(bù)法黑(hēi)客進行(xíng)網絡攻擊、敲詐勒索的(de→∑♠∞)手段，而企業(yè)在IT安全防護方面投入的(de)缺失，導緻DDoS攻擊更易實施。

那(nà)麽DDoS攻擊對(duì)企業(yè)的(de)危害有(yǒu)多("↑≈ duō)大(dà)？有(yǒu)人(rén)曾戲谑的(de)說(s$♥±huō)，一(yī)輛(liàng)普通(tōng)∏ ®γ兒(ér)童遙控車(chē)的(de) DDoS攻擊成本，能(nénλβ♦g)讓企業(yè)損失一(yī)輛(liàng)法拉利跑車♦ (chē)的(de)價值。足見(jiàn)DDoS攻擊危害之≈•大(dà)。360曾發布《DDoS攻擊商業(yè)≥••破壞力研究報(bào)告》也(yě)證實了(le)這(zhè)一(y'‍$ī)點。報(bào)告顯示，2015年(nián)有(yǒu)超過77萬網站¶∞₽(zhàn)遭受DDoS攻擊。遭受攻擊的(de)網站(♦γ×zhàn)，1/4無法恢複運營。全球DD¶‌☆£oS攻擊每年(nián)造成的(de)經濟損失高(gāo)↑‍α₹達200億元，DDOS攻擊全年(nián)給網站(zhàn)經營者造成的(deα>)經濟損失至少(shǎo)為(wèi)：投入成本損失≈17.₩≈β↔8億；商業(yè)價值損失≈178.5億；流量✔®收入損失不(bù)低(dī)于1.67億元。

多(duō)數(shù)情況下(xià)DDoS攻擊給企業(yè)帶來(lá↑∏≥∑i)的(de)是(shì)業(yè)務中斷₩ 、信譽受損，而深層的(de)網絡犯罪目的(de)π 卻是(shì)：以DDoS作(zuò)為(wèi)煙(yān♦→≥)幕彈，竊取數(shù)據或進行(xíng)敲詐勒索，而這(zhΩ£è)所帶來(lái)的(de)損失和(hé)連帶威脅是(sh∏ γ¥ì)巨大(dà)的(de)。

DDoS攻擊加劇(jù) 企業(yè)或成最大(dà)攻擊目标

據Akamai2016互聯網第三季度安全報(bào)告中≥∏<&表示， 規模超100 Gbps DDoS攻擊總數(shù)同比上(sπ★hàng)漲了(le)138%.另據卡巴斯基DDoS情報(bào)服務提供的(σ∏de)數(shù)據， DDoS攻擊對(duì)70個(gè​• )國(guó)家(jiā)的(de)資源造成影(yǐng)€÷σ"響。其中，遭受影(yǐng)響最嚴重的(de)國(guóβ♣)家(jiā)為(wèi)中國(guó)（77%的(φ♣de)資源遭受攻擊）。

騰訊曾發布報(bào)告稱，在中國(guó)，經過近(jìn)二十年(n‍↓≤ián)的(de)發展壯大(dà)，DDoS攻擊也(yě×β)形成了(le)一(yī)條高(gāo)度成熟的(de)黑(hēi)∞∞色産業(yè)鏈。目前在這(zhè)條黑(hēi)色産業(yè)鏈中，相(xi♦♥∞àng)關黑(hēi)産從(cóng)業(y•©¥βè)人(rén)員(yuán)或已達到(dào)三十餘萬人(☆♥ rén)，涉及數(shù)千個(gè)大(dà)大(dà)™¥×小(xiǎo)小(xiǎo)的(de)黑(hēi)産團夥，這(zhè)$→類黑(hēi)客攻擊成本同樣很(hěn)低(dī)。

以上(shàng)數(shù)據不(bù)難看(kàn)出，目前DDoS ←攻擊已經成為(wèi)最引人(rén)注目的(de)、受到(dào)≤★®₩黑(hēi)客歡迎的(de)攻擊方式，據數(shù)據統計(jì)僅2016年εγ&(nián)一(yī)年(nián)全球或大(®∑™♠dà)或小(xiǎo)的(de)DDoS攻擊已經出現(xià  n)至少(shǎo)2000起，并且呈現(x © ​iàn)出大(dà)流量、多(duō)手段、IOT化(huà)的(✘‌εde)趨勢。以前看(kàn)起來(lái)不(bù)足為(wèi)奇的(de→♠&)DDoS攻擊，幾年(nián)時(shí)間(jiān)內(nè∏ §φi)，攻擊流量從(cóng)300 GB到(dào)4 "♣00GB，2016年(nián)全球DDoS攻擊峰值流量竟高(gāo)γ$✔達1.1T，同比增長(cháng)40%，為(wèi)了(le)更大(dà)的∏Ω‌(de)經濟利益，越來(lái)越多(duō)的(de)DDoS攻擊者瞄™‌♥✔準了(le)企業(yè)。

據近(jìn)日(rì)安永發布的(de)全球信 ≠息安全調查報(bào)告顯示， 86%的(de)受訪者表示其網絡​↕安全職能(néng)不(bù)能(néng)完全滿足企業(yè)的(®$de)需求，接近(jìn)半數(shù)（48%）的(de)Ω§$☆受訪者稱其落後的(de)信息安全管控已經成為(wèi)風(fēng)險的(♦★de)高(gāo)發地(dì)帶。員(yuán)工(gōng)粗心或缺乏安全意<©識（55%）、惡意軟件(jiàn)（52%）成為(wèi)調查中排名★×♠¶最高(gāo)的(de)漏洞與威脅。

随著(zhe)計(jì)算(suàn)機(jī)及網絡技(jì)術(shù)的♦Ω(de)發展，盡管企業(yè)在抵禦攻擊的(de)能(né£÷ng)力方面已經獲得(de)了(le)不(bù)小(xiǎo)的♥​(de)進步，但(dàn)随著(zhe)攻擊的(d±♣e)形式手段多(duō)種多(duō)樣而且日(rì)益複雜(zá)，£©β×越來(lái)越多(duō)的(de)企業(yè)面"÷對(duì)網絡攻擊問(wèn)題不(bù)知(zhī)所措₹λ‍和(hé)力不(bù)從(cóng)心。

DDoS攻擊究竟為(wèi)何物(wù)？

DDoS是(shì)英文(wén)DistributeεΩ‌d Denial of Service的(de)縮寫，意即“≤↕₹ε分(fēn)布式拒絕服務”，γε‍☆ 目的(de)是(shì)耗盡可(kě)用(∏" yòng)于網絡、應用(yòng)程序或服務的(de)資源，βλ&←阻止合法用(yòng)戶對(duì)正常網絡資源的(de)訪問(wèn)，讓網σΩ站(zhàn)響應不(bù)過來(lái)，而癱瘓。如(rú)用(yòng)♠ε戶和(hé)玩(wán)家(jiā)們熟知(zhī)的(de) &≠♦ldquo;黑(hēi)色聖誕”就(jiù)是(s>"∑hì)當時(shí)的(de)“蜥蜴小βδ(xiǎo)組”使用(yòng)↔↑≠DDoS攻擊了(le)微(wēi)軟和(hé)索尼的(de)服務器(qì)<&，造成了(le)全球玩(wán)家(jiā)σ•∑的(de)主機(jī)聯網服務大(dà)規模停擺的(de)狀況。★©∑

DDoS與一(yī)般黑(hēi)客尋找漏洞，劫持用(yòng)戶網絡進→σ行(xíng)注入的(de)惡意攻擊不(bù)同，DDoS并不(♦≈ bù)需要(yào)特定的(de)入口來(lái)打入目标±←內(nèi)部，而是(shì)通(tōng)過很(σ→§ hěn)多(duō)“僵屍主機(jī)&rdσγ↑quo;（被攻擊者入侵過或可(kě)間(jiān)接利用(yòng)的(de)¶₩&±主機(jī)）向受害主機(jī)發送大(dà)量看(kàn•←☆δ)似合法的(de)網絡包，從(cóng)而造成網絡阻塞或服務<♦≠器(qì)資源耗盡而導緻拒絕服務，分(fēn)布式拒絕∑σα★服務攻擊一(yī)旦被實施，攻擊網絡包就(jiù)會(huì)γ♦猶如(rú)洪水(shuǐ)般湧向受害主機(jī)，從(↔™♦​cóng)而把合法用(yòng)戶的(de)網絡包淹沒，導緻合法用(yòng)↔≈←≠戶無法正常訪問(wèn)服務器(qì)的(de)網絡資源，因此DDoS≤ ♦¥也(yě)被稱作(zuò) “洪♥™水(shuǐ)式攻擊”。

企業(yè)如(rú)何防禦DDoS攻擊？ 标本兼治，根源防禦

DDoS防禦是(shì)一(yī)個(gè)系統工(gōng)程，對(duì)于企業(σ yè)來(lái)說(shuō)，需标本兼"‍×治，從(cóng)根源防禦。

首先，要(yào)保證網絡設備不(bù)能(néng)成為(wèi)瓶頸。針對÷♠≠(duì)DDoS防禦，服務器(qì)的(de)選擇十分(fēn)重要(y✘★¶ào)，服務器(qì)是(shì)全面防禦流量攻擊的(de)第一×★(yī)關，也(yě)是(shì)最重要(yà₽&o)的(de)一(yī)步。所以選擇高(gāo)防γ'©禦能(néng)力的(de)數(shù)據→∏中心将成為(wèi)企業(yè)首選。目前數(shù)據中心均部署智能(n $✔éng)高(gāo)防禦系統，其中高(gāo)防服務器(qì≤₽→λ)所使用(yòng)的(de)硬件(jiàn)防γ>¶γ火(huǒ)牆，能(néng)完美(měi)防禦DDoS/CCπ•₩/ DNS等流量攻擊，并針對(duì)洛杉矶服務器(qì)用(yòng)±π≥ε戶免費(fèi)贈送10G的(de)單機(jī)防禦保₩£§δ護，這(zhè)對(duì)中小(xiǎo)型企業(yè)或個(αφβgè)人(rén)用(yòng)戶來(lái)說(shuō)，已經能(₹λ→→néng)夠充分(fēn)保障網站(zhàn)安全。對(duì)于企業(β↕☆yè)客戶來(lái)說(shuō)，可(kě)單獨提↓σ₽供不(bù)同等級單個(gè)硬防防禦及解決方案。如(rú€✘'&)國(guó)內(nèi)某遊戲公司的(de)服務器(qì)和(hé)網站(z∑ hàn)遭受大(dà)量DDoS攻擊，一(yī)度導緻網<§站(zhàn)持續癱瘓，用(yòng)戶無法訪問(wèn)，造成百★φβ萬以上(shàng)的(de)直接經濟損失→  →。在此情況下(xià)，可(kě)在最短(duǎn)©≠≠✔的(de)時(shí)間(jiān)內(nèi)為(wèi)其定制(€®zhì)了(le)80G防禦解決方案，對(duì)攻擊流量實施近(♠↓λjìn)源清洗，多(duō)線路(lù)冗餘保護、實時(shí)切換， ₩NOC中心7*24小(xiǎo)時(shí)同÷∏♦÷步監控、報(bào)警及動态調整，流量溯源等，實現(xià♠γ→Ωn)了(le)有(yǒu)效防護，充分(fēn)保障了(l‍δe)網站(zhàn)的(de)正常運行(xín↓©¥βg)。

其次，保證有(yǒu)充足的(de)網絡帶寬。網絡帶寬直接決定了(>©le)能(néng)抗受攻擊的(de)能(néng)力。DDoS流量攻擊就(j♠€iù)是(shì)對(duì)資源上(shàng)的(de)σ"✔占取，如(rú)果帶寬資源充足，攻擊就(jiù)不(bù)會(huì)對©<(duì)網絡産生(shēng)較大(dε∏à)影(yǐng)響，如(rú)何帶寬不(bù)充足，那(nà)麽就•‍(jiù)會(huì)導緻網絡訪問(wèn)速度下(xià)降，影←✘←®(yǐng)響用(yòng)戶體(tǐ)驗♦λ∞。

再次，要(yào)有(yǒu)全球性視(shì)角，一≈♦₽(yī)線攻防經驗。因為(wèi)DDoS↓>₩攻擊源頭是(shì)分(fēn)散在世界各地(dì)的(de)，DDoS攻擊ε↑"¶方式手段變化(huà)莫測，這(zhè)就(jiù)需要(yào)企業(yè♥ε)在選擇高(gāo)防服務器(qì)服務商時(shí)，還(hái)要(y‌‍¥×ào)看(kàn)其是(shì)否有(yǒu)全球性視(shì)角，針對(dε∑uì)行(xíng)業(yè)內(nèi)出現(xiàn)的(de)新威脅↕§，是(shì)否能(néng)快(kuài)速做(zuò)出判斷和↕ε•(hé)響應，還(hái)要(yào)看(kàn)其是(shì)≤ ​♣否有(yǒu)實操經驗及專業(yè)的(de)安防技(jì)術(s♥"hù)和(hé)全球的(de)防禦能(néng)力和(hé)容量。

随著(zhe)DDoS攻擊的(de)日(rì)益增多(duōσλ'≥)，DDoS攻擊已經成為(wèi)企業(yè)↓♥需要(yào)長(cháng)期面臨的(de✘÷)嚴峻挑戰。無論是(shì)處于經濟原因還(hái)是(sh​↑♥≥ì)其他(tā)方面，企業(yè)都(dōu)應該對(du♦€ì)DDoS攻擊防護進行(xíng)考慮，保證業(yè)務系統運行(xíng)∏<$的(de)連續性，隻有(yǒu)這(zhè)樣，木(mù)桶才不(♥ ✔bù)會(huì)出現(xiàn)&ld ✘quo;短(duǎn)闆”。