是什么讓DDoS攻擊不同于日常的數(shù)據(jù)泄露？答案是拒絕服務(wù)。DDoS攻擊的目的是阻止人們所依賴的在線服務(wù)交付。第13次年度全球基礎(chǔ)設(shè)施安全報告（WISR）（NETSCOUT Arbor對來自服務(wù)提供商和企業(yè)領(lǐng)域的安全專家進(jìn)行的年度調(diào)查）發(fā)現(xiàn)，去年以基礎(chǔ)設(shè)施為目標(biāo)的DDoS攻擊大幅增加。

是什么讓DDoS攻擊不同于日常的數(shù)據(jù)泄露？答案是拒絕服務(wù)。DDoS攻擊的目的是阻止人們所依賴的在線服務(wù)交付。金融機(jī)構(gòu)、游戲和電子商務(wù)網(wǎng)站是最容易受到DDoS攻擊的目標(biāo)，為企業(yè)客戶托管網(wǎng)站或服務(wù)應(yīng)用的云服務(wù)提供商同樣在列。即使服務(wù)交付出現(xiàn)短暫中斷也會對企業(yè)造成數(shù)百萬的業(yè)務(wù)損失，還不包括客戶流失和聲譽(yù)受損等后果。

由于DDoS攻擊和數(shù)據(jù)泄露在本質(zhì)上迥然不同，邊界防火墻、入侵檢測/防護(hù)系統(tǒng)（IDI/IPS）等常規(guī)的安全基礎(chǔ)設(shè)施組件在緩解DDoS攻擊方面的效果相對較差。在分層防護(hù)策略中，這些安全產(chǎn)品必定占有一席之地，能夠為保護(hù)數(shù)據(jù)提供很好的服務(wù)。但它們無法應(yīng)對DDoS攻擊中的根本問題，即網(wǎng)絡(luò)可用性。

實際上，這些組件本身因失去防御能力而越來越成為DDoS攻擊的目標(biāo)。第13次年度全球基礎(chǔ)設(shè)施安全報告（WISR）（NETSCOUT Arbor對 來自服務(wù)提供商和企業(yè)領(lǐng)域的安全專家進(jìn)行的年度調(diào)查）發(fā)現(xiàn)，去年以基礎(chǔ)設(shè)施為目標(biāo)的DDoS攻擊大幅增加。在受訪企業(yè)中，61%的網(wǎng)絡(luò)基礎(chǔ)設(shè)施遭到了攻擊，52%的防火墻或IPS設(shè)備在DDoS攻擊期間失去防御功能或?qū)е略O(shè)備停機(jī)。在服務(wù)提供商中，對基礎(chǔ)設(shè)施的攻擊沒有如此普遍，其客戶依然是DDoS攻擊的主要目標(biāo)，但在服務(wù)提供商遭受的攻擊中，10%是以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為目標(biāo)，另有15%是以服務(wù)基礎(chǔ)設(shè)施為目標(biāo)。

同時，數(shù)據(jù)中心運(yùn)營商表示，36%的入站攻擊以路由器、防火墻、負(fù)載平衡器和其他數(shù)據(jù)中心基礎(chǔ)設(shè)施為目標(biāo)。大約48%的數(shù)據(jù)中心受訪者表示DDoS攻擊期間，防火墻、IDS/IPS設(shè)備和負(fù)載平衡器失效導(dǎo)致了設(shè)備停機(jī)，較2016年的43%有所增加。

基礎(chǔ)設(shè)施組件特別容易受到TCP狀態(tài)耗盡攻擊，這類攻擊旨在消耗負(fù)載平衡器、防火墻、IPS和應(yīng)用服務(wù)器用于識別合法數(shù)據(jù)包流量的連接狀態(tài)表（對話記錄），甚至還會導(dǎo)致能夠維持?jǐn)?shù)百萬連接狀態(tài)的大容量設(shè)備停機(jī)。在最新的WISR中，TCP狀態(tài)攻擊幾乎占到所有已知攻擊的 12%。

盡管存在漏洞，但防火墻、IPS和負(fù)載平衡器依然是組織用于抵御DDoS攻擊的首要安全措施。在服務(wù)提供商中，防火墻在最常見的DDoS緩解選項中排名第二，而在企業(yè)中，防火墻是82%受訪者的第一選擇。讓人失望的是，一些最流行的DDoS緩解措施也是最無效的措施，因為狀態(tài)型攻擊可以輕松突破它們的防御。

但積極的一面是，我們2016年的調(diào)查中報告了越來越頻繁的DDoS攻擊，2017年，這促使智能DDoS緩解系統(tǒng)（IDMS）的采用變得更加廣泛。大約一半的受訪者表示，IDMS目前已成為邊界保護(hù)的一部分，較前一年的29%顯著增加。

任何通過網(wǎng)絡(luò)交付服務(wù)的組織都需要專門打造強(qiáng)大的DDoS防護(hù)系統(tǒng)，安全專家持續(xù)推薦結(jié)合本地防護(hù)和云端緩解功能的混合解決方案，并將其作為最佳做法。尤其是對于以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為目標(biāo)的攻擊，應(yīng)在基礎(chǔ)設(shè)施組件之前部署專用的DDoS本地設(shè)備，以保護(hù)基礎(chǔ)設(shè)施組件免受攻擊，使其能夠暢通無阻地執(zhí)行任務(wù)。