防護(hù)組織網(wǎng)絡(luò)免受DDoS攻擊長(zhǎng)久以來(lái)是一項(xiàng)巨大的挑戰(zhàn)，如今網(wǎng)絡(luò)犯罪正變得更加猖狂，輿論新聞也都充斥著關(guān)于DDoS攻擊、數(shù)據(jù)泄露或其他安全問(wèn)題。然而，即使在如今日益猖狂的DDoS威脅下，許多組織還相信其幾年前引入的DDoS防護(hù)設(shè)備現(xiàn)在依然有效。在這些例子中，這些組織在用其自身的網(wǎng)絡(luò)做賭注。到了應(yīng)該揭露一些對(duì)于DDoS誤解的時(shí)候了。

　　5個(gè)關(guān)于DDoS防護(hù)的常見(jiàn)誤解

　　誤解 #1：防火墻、IPS 或內(nèi)容分發(fā)網(wǎng)絡(luò)能解決問(wèn)題

　　IT基礎(chǔ)架構(gòu)的演變以及對(duì)于第三方云的依賴(lài)早就形成一個(gè)復(fù)雜的環(huán)境，周界不復(fù)存在。諸如防火墻和IDS/IPS的傳統(tǒng)“周界”安全解決方案仍然是集成安全態(tài)勢(shì)的關(guān)鍵部分。然而，因?yàn)檫@些設(shè)備會(huì)進(jìn)行網(wǎng)絡(luò)連接的狀態(tài)檢測(cè)，此過(guò)程容易遭受 DDoS攻擊，反而使情況惡化。

　　許多組織還錯(cuò)誤地相信內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)能為阻止DDoS攻擊提供解決方案。事實(shí)上，一個(gè)CDN僅可解決一個(gè)DDoS攻擊癥狀。通過(guò)吸收如此大量的數(shù)據(jù)，一個(gè)CDN實(shí)際上能將所有信息引入網(wǎng)絡(luò)之中。此外，大部分以CDN為基礎(chǔ)的DDoS防護(hù)解決方案僅專(zhuān)注于吸收HTTP/HTTPS DDoS攻擊，而忽略了所有其他諸如NTP/DNS的放大攻擊，此類(lèi)攻擊極為常見(jiàn)。

　　誤解 #2：?jiǎn)螌?DDoS 防護(hù)足以應(yīng)對(duì)攻擊

　　由于現(xiàn)在的DDoS攻擊正從使用容量、TCP 狀態(tài)枯竭和應(yīng)用層攻擊向量的方向集合，業(yè)界推薦各組織使用的最佳方法是分層防護(hù)方法。

　　在多如潮水般的攻擊壓垮本地網(wǎng)絡(luò)連接或內(nèi)部部署的DDoS防護(hù)系統(tǒng)之前，阻止這些攻擊的最佳位置是在安全提供商云的上游。并且，阻止秘密應(yīng)用層攻擊的最佳位置是用戶(hù)端，因其靠近關(guān)鍵應(yīng)用或服務(wù)的位置。同樣重要的是，您必須擁有由最新威脅智能感知支持的這兩個(gè)層面的智能形式交互，以阻止動(dòng)態(tài)DDoS攻擊。

　　不幸的是，許多組織僅選擇一層防護(hù)，造成其DDoS防護(hù)解決方案不完整。

　　誤解 #3：我們有可能不會(huì)成為目標(biāo)，所以值得冒險(xiǎn)

　　那么，DDoS攻擊數(shù)量飛速增長(zhǎng)主要因素有兩個(gè)：發(fā)起攻擊很容易，并且攻擊動(dòng)機(jī)多樣。歷史上從未像現(xiàn)在這樣如此容易地發(fā)起DDoS攻擊。任何人都可以?xún)H通過(guò)免費(fèi)或向第三方付少量費(fèi)用的情況下，下載自助DDoS攻擊工具，從而非常輕易地發(fā)起DDoS攻擊。而發(fā)起攻擊的成本僅為數(shù)十美元，但組織的損失可能達(dá)到數(shù)千萬(wàn)美元。DDoS攻擊背后的動(dòng)機(jī)多種多樣，包括不再為獲得經(jīng)濟(jì)利益或由國(guó)家贊助的組織發(fā)起的DDoS攻擊。

　　如今，可能僅僅因?yàn)橐庖?jiàn)不合或基于某議題的政治立場(chǎng)或態(tài)度不同而使用多種工具或服務(wù)來(lái)發(fā)起DDoS攻擊。更糟糕的是，如果您的服務(wù)基于共享云環(huán)境，即便您不是DDoS攻擊的目標(biāo)，也可能遭受相關(guān)損害。所以您應(yīng)捫心自問(wèn)：“我真的那么幸運(yùn)嗎？”

　　誤解 #4：DDoS攻擊的影響不值得防護(hù)系統(tǒng)的增加成本

　　DDoS攻擊的影響會(huì)顯而易見(jiàn)并且十分嚴(yán)重。事實(shí)上，許多組織并未進(jìn)行有效的風(fēng)險(xiǎn)及應(yīng)對(duì)措施分析，從而無(wú)法為其購(gòu)買(mǎi)DDoS防護(hù)解決方案提供可靠依據(jù)。當(dāng)然，算出盈利服務(wù)停機(jī)成本可能很簡(jiǎn)單；但您是否全面考慮過(guò)其他DDoS攻擊的相關(guān)成本？

　　許多間接成本常常被人們忽略，比如SLA信貸、法律/管理費(fèi)用、品牌形象維護(hù)的公關(guān)成本、客戶(hù)流失等等。甚至在一些記錄在冊(cè)的案例中，有高管或董事會(huì)成員因?yàn)閷?duì)阻止DDoS攻擊及其他威脅未作充足準(zhǔn)備而被解雇。

　　誤解 #5 - DDoS攻擊并非高端威脅

　　確實(shí)，就技術(shù)而言，DDoS攻擊本身可能并不高端。然而，最近對(duì)僵尸網(wǎng)絡(luò)和DDoS攻擊的研究結(jié)果表明，它們實(shí)際上與使用惡意軟件、RAT的高級(jí)威脅行動(dòng)關(guān)系密切。

　　例如，有記錄在冊(cè)的案例顯示，DDoS攻擊會(huì)出現(xiàn)在下述情況：

• 在早期偵查階段用以測(cè)試某組織回應(yīng)某種威脅的能力；
• 在惡意軟件傳輸階段，用以填寫(xiě)安全法醫(yī)產(chǎn)品日志和數(shù)據(jù)文件；用以讓已植入的惡意軟件更加難以被搜索到；
• 數(shù)據(jù)提取階段用以作為轉(zhuǎn)移注意力的策略工具。

　　所以這就引發(fā)了一個(gè)問(wèn)題：“最近這次DDoS攻擊是孤立事件，還是只針對(duì)本組織的未來(lái)高級(jí)威脅行動(dòng)的一部分？”為了保險(xiǎn)起見(jiàn)，強(qiáng)烈推薦您使用全球威脅智能感應(yīng)系統(tǒng)，在威脅降臨之前就可積極“搜尋”危害或違規(guī)跡象。

　　智能、多層次DDoS保護(hù)方法應(yīng)運(yùn)而生

　　使用諸如防火墻或IPS的傳統(tǒng)安全解決方案存在巨大風(fēng)險(xiǎn)。您能夠承受您的關(guān)鍵應(yīng)用程序無(wú)法使用的風(fēng)險(xiǎn)壓力嗎？您能夠承受某項(xiàng)入侵事件造成的數(shù)百萬(wàn)客戶(hù)機(jī)密信息曝光的成本嗎？實(shí)際上，您非常需要使用一種集成的、多層次的DDoS防御解決方案來(lái)時(shí)刻保護(hù)您的組織。

　　關(guān)于 Arbor Networks

　　Arbor Networks， Inc  幫助確保世界最大的企業(yè)和服務(wù)提供商網(wǎng)絡(luò)免受 DDoS 攻擊和高級(jí)威脅。根據(jù) Infonetics Research 的報(bào)告，Arbor 是企業(yè)、運(yùn)營(yíng)商和移動(dòng)細(xì)分市場(chǎng)世界領(lǐng)先的本地 DDoS 防護(hù)提供商。Arbor 的高級(jí)威脅解決方案通過(guò)結(jié)合數(shù)據(jù)包捕獲和 NetFlow 技術(shù)提供全面的網(wǎng)絡(luò)可視性，從而能夠快速檢測(cè)和緩解惡意軟件和惡意內(nèi)部人員攻擊。Arbor 還提供市場(chǎng)領(lǐng)先的動(dòng)態(tài)事件響應(yīng)分析、歷史分析、可視化和取證服務(wù)。Arbor 致力于成為“力量倍增器”，使網(wǎng)絡(luò)和安全團(tuán)隊(duì)成為專(zhuān)家。我們的目標(biāo)是提供更豐富的網(wǎng)絡(luò)狀況信息和更安全的環(huán)境--這樣客戶(hù)就可以更快地解決問(wèn)題，并且?guī)椭鷾p少其業(yè)務(wù)面臨的風(fēng)險(xiǎn)。