1 DDoS攻擊發展現狀
據相關安全平臺監測數據顯示，分布式拒絕服務攻擊（DDoS攻擊）激增，數量、規模和復雜性都在增加。過去的DDoS攻擊以Flood型攻擊為主，更多的針對運營商的網絡和基礎架構。而當前的DDoS攻擊越來越多的是針對具體應用和業務，例如：針對企業門戶應用、在線購物、在線視頻、在線游戲、DNS、E-mail等。攻擊的目標更加廣泛，攻擊行為更為復雜和仿真。如何有效防御DDoS攻擊已成為企業網絡安全關注的重點。

2 DDoS攻擊防御機制
為了保護信息數據安全，企業在進行網絡建設時一般會使用專業的安全防護設備，例如路由器、網關、防火墻等，并將其部署在企業網絡的出入口，對所有出入的數據包進行過濾，檢查邊界安全規則，確保輸出的數據流受到正確限制。以防火墻產品為例，網絡部署如下圖所示。
圖2-1    安全防護產品網絡部署示意圖

為有效識別正常數據流和攻擊數據流，數據流經過安全防護產品時一般會經過攻擊檢測和攻擊防范是兩個至關重要的階段。通過分析經過設備的報文的內容和行為，判斷報文是否具有攻擊特征，并根據配置對具有攻擊特征的報文執行相應的防御措施。安全防護設備中常用的攻擊檢查和攻擊防范特性包括：
●    異常檢測：統計模型和機器學習算法（例如神經網絡，決策樹和近鄰算法）可用于分析網絡流量，并將流量模式分類為正常或DDoS攻擊，還可檢測網絡性能因素中的異常，例如設備CPU利用率或帶寬使用情況。
●    基于知識的方法：使用諸如特征碼分析、狀態轉換分析、專家系統、描述腳本和自組織映射等方法，可以通過將流量與已知攻擊的特定模式進行比較來檢測DDoS。
●    ACL和防火墻規則：除了入口/出口流量過濾之外，訪問控制列表（ACL）和防火墻規則可用于增強流量可見性。通過分析ACL日志，可以判斷通過網絡運行的流量類型；根據特定的規則、簽名和模式配置應用防火墻策略來阻止可疑的傳入流量。
●    入侵防御系統和入侵檢測系統：入侵防御系統（IPS）和入侵檢測系統（IDS）提供了額外的流量可見性。IPS和IDS識別的報警可以作為異常和潛在惡意流量的早期指示。
根據DDoS攻擊的特點及產生的影響，通常將其大致分為單包攻擊、掃描攻擊、泛洪攻擊。系統在進行攻擊防御時也會分階段處理，先檢測是否為單包攻擊，再檢測是否為掃描攻擊和泛洪攻擊。針對不同的攻擊類型，攻擊檢測及防御措施有所不同：

除了安全防護設備的使用，以下措施也可以有效降低攻擊發生：
●    安裝新的安全補丁
由于大多數攻擊針對特定的軟件或硬件漏洞，且攻擊特點不斷更新，因此及時安裝新的補丁也可以有效降低攻擊風險。
●    禁用未使用的服務
黑客攻擊的應用程序和服務越少越好。確保禁用所有不需要和未使用的服務和應用程序，以提高網絡的安全性。

3 總結
雖然DDoS攻擊的目標更加廣泛，攻擊行為更為復雜和仿真，DDoS攻擊防不勝防，但人工智能、機器學習等智能化的方法逐漸應用到攻擊防御技術中，分布式集群防御、高防智能DNS解析、高防云服務等技術相繼出現，使得DDoS防御變成一項系統工程，可以更加專業化、精準化地守護網絡安全。
此外，企業網絡管理人員的網絡攻擊基本知識和防護意識也不斷提高，網絡安全意識與技術手段的結合，更好地發揮網絡防護的效能，使網絡更健壯、更安全。

相關鏈接

什么是DDoS攻擊

你不可忽視的園區網ARP安全防護