引言：時至今日，DDoS攻擊從未消沉過，近兩年來，雖然針對企業(yè)以經(jīng)濟利益為目的的高級可持續(xù)性攻擊越來越多，而企業(yè)也越來越難以防范。但作為一種易于開展又為害甚重的攻擊手段，DDoS攻擊也成為如今困擾企業(yè)的難題之一。

DDoS攻擊全稱分布式拒絕服務(wù)攻擊，攻擊者大都以癱瘓對方的服務(wù)為直接目的，以耗盡網(wǎng)絡(luò)設(shè)施(服務(wù)器、防火墻、IPS、路由器)性能為手段，利用網(wǎng)絡(luò)中分布的傀儡主機向目標設(shè)施發(fā)送惡意攻擊流量。由于傀儡主機數(shù)量巨大，所以DDoS 攻擊產(chǎn)生的流量經(jīng)常會達到服務(wù)器甚至是電信級網(wǎng)絡(luò)設(shè)備的性能上限。同時由于傀儡主機呈現(xiàn)多地區(qū)分布的特點，導致攻擊難以溯源，無法準確防范。而其簡單的工作原理和攻擊方式導致大量的不法之徒可以輕易的掌握某種DDoS攻擊技術(shù)。

企業(yè)目前在安全和風險管理上面臨著幾個嚴重的挑戰(zhàn)，首先是缺乏端到端的企業(yè)整體安全方案;其次缺乏統(tǒng)一的安全防御模型。信息的共享與使用存在困難，政府和不同的企業(yè)、企業(yè)的不同系統(tǒng)之間，在安全架構(gòu)與模型、信息通告、接口標準等方面缺乏統(tǒng)一與協(xié)作，導致雖然企業(yè)建立了多種安全防御系統(tǒng)，但攻擊仍然可以利用安全盲區(qū)發(fā)動;最后安全防御的成本急劇增加，攻防成本和效率失衡。

基于以上的機會，DDoS攻擊在如今呈現(xiàn)愈演愈烈之勢。近兩年來，最大規(guī)模的DDoS攻擊早已超過100G。而對傳統(tǒng)的企業(yè)級安全防御設(shè)備來說卻無法有效的進行防御，防火墻作為網(wǎng)絡(luò)基礎(chǔ)安全設(shè)施已經(jīng)得到人們的認可，但防火墻的主要功能是域間隔離、NAT、VPN。DDoS攻擊的對象是部署在防火墻DMZ區(qū)的服務(wù)器，傳統(tǒng)防火墻對DMZ區(qū)只能采用通用的基于應用端口和四層協(xié)議的訪問控制，如果攻擊是模擬業(yè)務(wù)訪問報文，防火墻的防范會徹底失效。IPS設(shè)備基于特征庫過濾已知威脅，但是當前DDoS攻擊大部分都是模擬合法業(yè)務(wù)訪問報文，所以IPS系統(tǒng)面對DDoS攻擊往往也束手無策。

而最糟糕的是，大量變源IP變源端口的DDoS攻擊會快速導致部署在網(wǎng)關(guān)處的新建會話低的防火墻或IPS早于業(yè)務(wù)系統(tǒng)癱瘓，現(xiàn)網(wǎng)已經(jīng)出現(xiàn)多次DDoS攻擊引起防火墻和IPS癱瘓最終導致網(wǎng)絡(luò)業(yè)務(wù)中斷的事故。

D1Net評論：

可以看出，DDoS 防護是一場長期持久的戰(zhàn)爭，攻擊者總是在猜測著防護體系的防范規(guī)律，同時也在不斷的推出新的攻擊軟件和攻擊手段。在如此情勢下，單純靠網(wǎng)絡(luò)安全設(shè)備來進行防護是遠遠不夠的。完整而健全的防護體系實際上需要DDoS 防護設(shè)備，應急響應團隊，攻擊分析團隊和DDoS 防護開發(fā)團隊的通力合作才能夠建立。