丟掉DDoS的八個(gè)幻想

張振倫

2016年10月21日，搞癱美國半個(gè)互聯(lián)網(wǎng)的Mirai DDoS攻擊，卻只是讓很多人的心臟稍微顫抖了幾下，感覺DDoS只是一時(shí)的攻擊，不需太多擔(dān)心。目前，很多客戶仍心存8大幻想：

幻想1：公司數(shù)據(jù)中心已經(jīng)有了 DDoS防護(hù)，可以輕松抵擋DDoS的來犯。事實(shí)是，DDoS攻擊峰值流量已達(dá)500Gbps，幾乎沒有客戶可以通過自己的DDoS防護(hù)來抵擋住這么大流量的攻擊。并且，過去幾年DDoS的攻擊流量仍不斷提升，特別是IoT的廣泛部署，更是方便了僵尸的快速集結(jié)，降低了DDoS攻擊的成本，提升了DDoS攻擊的危害。云清洗和本地?cái)?shù)據(jù)中心的雙重防護(hù)才是出路，這已成為DDoS業(yè)界的共識(shí)。

幻想2：我們公司不會(huì)成為DDoS攻擊的對(duì)象。雖然90%的DDoS攻擊針對(duì)的是專業(yè)領(lǐng)域，其中81%的DDoS攻擊針對(duì)教育用戶。但任何用戶都不能掉以輕心，因?yàn)殡S著各行業(yè)的移動(dòng)化、數(shù)字化和互聯(lián)網(wǎng)化的加速，任何用戶都容易成為DDoS攻擊的對(duì)象?；谠贫说腄DoS防護(hù)成為IT投資中不可或缺的一部分，就像今天的各種保險(xiǎn)一樣。

幻想3：企業(yè)防火墻可以抵擋DDoS攻擊。調(diào)研表明，超過40%的DDoS攻擊可以輕松跨越今天的防火墻，因?yàn)榉阑饓虸PS根本不能區(qū)分流量到底是來自惡意用戶還是合法用戶。同時(shí)，企業(yè)防火墻也不能抵擋大流量的DDoS攻擊，不要期望防火墻幫你抵擋DDoS，DDoS需要專門的清洗中心。

幻想4：DDoS攻擊都是單向量攻擊。其實(shí)78%的DDoS攻擊都是多向量攻擊，防護(hù)非常困難。多向量DDoS攻擊會(huì)尋找防御鏈中的最薄弱點(diǎn)進(jìn)行攻擊，影響在線服務(wù)的正常進(jìn)行，對(duì)于以在線業(yè)務(wù)為收入的企業(yè)來講，打擊是摧毀性的。混合DDoS防護(hù)是目前對(duì)多向量DDoS攻擊最有效的防護(hù)方法。

幻想5：我們?cè)诰€業(yè)務(wù)少，應(yīng)該不會(huì)遭遇DDoS攻擊。事實(shí)上，DDoS攻擊從不分企業(yè)大小，任何規(guī)模的企業(yè)都可能遭受DDoS攻擊。企業(yè)規(guī)模不大也不能僥幸地認(rèn)為天然免疫DDoS攻擊。 幻想6：DDoS攻擊就是暴力攻擊而已。其實(shí)DDoS攻擊不僅是暴力攻擊，還會(huì)和針對(duì)應(yīng)用攻擊等相結(jié)合，使得DDoS攻擊的破壞性急劇擴(kuò)大。最新調(diào)研表明，大約19%的DDoS攻擊會(huì)針對(duì)應(yīng)用層進(jìn)行攻擊，而應(yīng)用層的防護(hù)需求越來越迫切。

幻想7：DDoS方案不值得投資。調(diào)研表明，2015年45%的組織都經(jīng)受過至少一次DDoS攻擊，平均每次DDoS攻擊造成的損失達(dá)到每小時(shí)20～50萬美金。DDoS絕對(duì)值得引起大家的注意，特別是在線業(yè)務(wù)急劇成長的企業(yè)，千萬不能掉以輕心。

幻想8：DDoS攻擊沒有造成直接財(cái)務(wù)損失。其實(shí)，90%的多向量網(wǎng)絡(luò)攻擊都以DDoS作為煙幕彈來進(jìn)行掩護(hù)，發(fā)生了DDoS攻擊時(shí)，你要小心后臺(tái)是否有人在盜取用戶賬戶、獲取關(guān)鍵財(cái)務(wù)信息，從而進(jìn)行金融犯罪等。DDoS雖已有多年的歷史，但隨著“互聯(lián)網(wǎng)+”的不斷推進(jìn)，危害越來越大，任何組織都應(yīng)該馬上考慮自己的DDoS防護(hù)方案，盡量避免受到DDoS的攻擊后再亡羊補(bǔ)牢。