DDoS攻擊:絕對不容忽視的安全問題

　　在網絡安全界，DDoS攻擊已經不是一個新鮮的名詞。最早的DDoS攻擊可以追溯到1996年，在中國DDoS攻擊於2002年開始頻繁出現，2003年已經初具規模。然而近幾年，這個老生常談的網絡攻擊方式卻以新的攻擊方式，給帶來巨大的網絡安全威脅。

　　“事實上DDoS攻擊並不是一個陌生的話題，但卻是一個絕對不容忽視的安全問題。” 梭子魚技術總監賈玉彬如是說道，“簡單概述，目前DDoS攻擊新趨勢是：從TCP/IP層上移到了應用層。”

　　根據 Gartner預測，DDOS攻擊會占2013年所有的應用層攻擊中的25%左右。基於應用層的DDOS攻擊每年以三倍的速度增長。在過去，DDOS攻擊使用大量偽造的UDP, TCP SYN, 或者ICMP流量來意圖淹沒目標網絡。然而，當今的攻擊平台已經進化到包含應用層的DDOS攻擊，目標是Web系統和DNS系統。

　　賈玉彬表示：“隨著攻擊手段和攻擊目標的變化，將使得任何一個互聯網上的應用都可能會成為攻擊目標，70%以上的為隨機受害者。”在他看來，目前DDoS攻擊的手段和方式主要有三種：

　　1、大流量型攻擊，主要憑借大量的僵屍網絡和應用層DDoS攻擊受害者的Web應用，例如大流量訪問需要消耗大量系統資源的url，從而導致Web應用崩潰;

　　2、匿名者組織，這個組織通過社交網絡組織大量人力並提供LOIC和JS LOIC兩種工具，這些來自社交網絡的人員都是真真正正的人而不是僵屍主機，所以這種攻擊更難於防范;

　　3、慢客戶端攻擊，這種利用了HTTP協議本身的缺陷，只需要非常少量的資源即可快速使目標受害者的站點陷入癱瘓，典型的工具如 Slowloris，目前這種攻擊目前非常流行，從協議的合規性分析，這種攻擊流量是正常的流量，所以依靠特征庫和黑名單技術的防護設備檢測不出這種攻擊。

　　面對呈現新形式的DDoS攻擊，賈玉彬指出中國在抵御DDoS攻擊方面所做的工作仍有很大的提升空間;“目前，大部分的企事業單位還停留在防御對網絡層的DDoS的攻擊防護或者是對大流量攻擊的防護，這顯然是不夠的。”

　　對此，賈玉彬也為在如何防御DDoS攻擊方面提出了建議。他指出，防御DDoS攻擊需要重點做好兩個方面防御措施：

　　1、部署邊界網絡防火牆和IPS，過濾網絡層的DDoS攻擊;

　　2、部署Web應用防火牆(WAF)，防御對應用層的DDoS攻擊進行防護，前提是部署的WAF需要支持對僵屍(主機)網絡攻擊的識別和防護、慢客戶端攻擊的防護、匿名者攻擊的防護。

　　不管怎樣，當DDoS這種看似陳舊過時的攻擊以新的攻擊方式卷土重來的時候，如果不進行有效主動防御，那麼本身就將有可能成為網絡安全問題的一部分。對而言，這是一個絕對不容忽視的安全問題。