近日，由Ponemon Institute進行一個雙年度的研究報告顯示，大多數數據中心宕機是由錯誤的UPS(不間斷電源)設備引發，占所有事故數量的25%，緊隨其后的是DDoS攻擊，占22%，DDos攻擊數量在過去幾年穩步增長，在2013年DDos攻擊只占數據中心宕機次數的18%，而2010年只有4%。

DDoS也就是分布式拒絕服務攻擊，指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。該攻擊方式利用目標系統網絡服務功能缺陷或者直接消耗其系統資源，使得該目標系統無法提供正常的服務。

DDoS的攻擊方式有很多種，最基本的DDoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。

分布式拒絕服務攻擊采取的攻擊手段就是分布式的，在攻擊的模式改變了傳統的點對點的攻擊模式，使攻擊方式出現了沒有規律的情況，而且在進行攻擊的時候，通常使用的也是常見的協議和服務，這樣只是從協議和服務的類型上是很難對攻擊進行區分的。在進行攻擊的時候，攻擊數據包都是經過偽裝的，在源IP 地址上也是進行偽造的，這樣就很難對攻擊進行地址的確定，在查找方面也是很難的。這樣就導致了分布式拒絕服務攻擊在檢驗方法上是很難做到的。

分布式拒絕服務在進行攻擊的時候，要對攻擊目標的流量地址進行集中，然后在攻擊的時候不會出現擁塞控制。在進行攻擊的時候會選擇使用隨機的端口來進行攻擊，會通過數千端口對攻擊的目標發送大量的數據包，使用固定的端口進行攻擊的時候，會向同一個端口發送大量的數據包。

縱觀整個2015年的DDoS現狀，我們可以得出如下結論：

DDoS攻擊頻率更高，持續時間更長，大型DDoS攻擊增長非常迅速。

　　DDoS攻擊手段越來越多，而且是兩種或者更多種攻擊手段同時并用。

第三個趨勢是DDoS攻擊對企業造成的損失越來越大。

新形勢下的DDoS市場

如果說以前的DDoS攻擊是長時間的持續性行為，那么步入新常態后，DDoS攻擊時間都低于一小時，不再像以前持續那么久。攻擊行為產生效果后會在企業防御前撤退，同時通過變化攻擊手法維持攻擊的有效性。

雖然目前很多運營商提供了流量清洗服務，但是在受到攻擊通知并啟動運營商的流量清洗服務之前，攻擊者可能已經轉移了。所以這需要企業在應對DDoS攻擊的時候需要更加有效的防御解決方案。

此外，DDoS攻擊影響的范圍在擴大，比如教育行業、政府和ISP。對于ISP來說，以前DDoS攻擊的對象是主機托管商的客戶，現在ISP自身也成為被攻擊的對象。

在攻擊手法上，DDoS攻擊出現加密型的攻擊，通過加密，攻擊直接穿透防火墻。而且攻擊是多維度的，不同類型的攻擊混合使用。而且DDoS攻擊的地域特征不是那么明顯，也就是在中國發生的攻擊也會出現在美國。

另外，DDoS攻擊不再像以前那樣偏向于偏向整個服務的阻斷，所謂阻斷就是服務完全不可用。現在的DDoS讓服務變慢而不是直接阻斷，通過影響服務的客戶體驗實現攻擊。比如服務響應慢，其實是DDoS強制占用整個業務系統資源，從而拖慢系統，服務受到干擾，直接影響客戶滿意度。

企業如何防范DDoS攻擊？

針對DDoS防護，建議企業遵循三個原則選擇供應商。第一，威脅情報的可視化非常重要。這個供應商需要有全球性的視角去看，業界有哪些最新出現的威脅，我可以盡快的響應。這個行業內有哪些共性的危機和危險，我可以去建議，這個是非常重要的。

第二點就是一線的攻防經驗，這家公司必須有很多的實操經驗，它必須實際幫客戶抵御很多的DDoS攻擊，它才能不斷改進它的技能。因為攻擊從本質上來說是人與人的斗爭，所謂魔高一尺，道高一丈。另外全球的防御能力和容量是非常重要的，因為DDoS攻擊源頭是分散在世界各地的。

第三是安全不再是一個支撐性的概念，而是一個業務的參與者，企業應將它上升到CXO的決策。有機構調研阻礙企業進行有效DDoS防護的因素，其中前三條因素都不是技術因素。第一條企業缺乏相應的安全預算預防DDoS。第二條企業缺乏安全人才，在市場上招聘一個有安全經驗的人非常困難，而且流動率很高。第三就是企業的CXO沒有參與到決策過程。

最后一點就是人員的安全意識，而且人員的安全意識應該是基于角色的安全意識。比如說您擁有CRM系統的管理權，您的安全等級是什么？您要做的安全預防措施是什么？這些教育培訓和管理是非常重要的。DDoS防護一半是技術問題，但更主要的是業務和決策層面的問題。

最新進展

根據Akamai最新的DDoS趨勢報告，利用DNSSEC協議的DDoS反射攻擊更加猖獗。攻擊者主要使用了.gov的域名，這歸咎于美國法規必須支持DNSSEC。

DNSSEC是域名系統安全擴展的簡稱，作為DNS協議的擴展，其包括了諸多保護DNS認證和數據完整度的安全特性，然而反射DDoS也在濫用DNSSEC協議。

業內也將反射DDoS稱作DRDoS或分布式反射拒絕服務攻擊。一名攻擊者將一個損壞的網絡包發送到服務器，然而之后它會被發送回另一個用戶(即攻擊的受害者)。該網絡包會濫用一個特定的協議，借助于各種缺陷，其可放大自身的數量。

盡管DNSSEC可以防止域名被劫持，但它卻無法阻擋反射DDoS攻擊。

Akamai SIRT(安全情報響應小組)表示：攻擊者沒有做什么特殊的事情，他們用的還是同樣的DDoS工具包，因為DNS解析器仍然開放著。問題的關鍵是他們請求了DNSSEC的域名(通常為.gov之類，修改為DNS請求的受害者IP，而不是他們自己的)。開放的DNS解析器會將它翻譯成一個IP，通過額外的DNSSEC請求數據來阻塞響應，然后將它發送回受害者IP。

此種情況告訴我們，2016年企業面臨的DDoS情況會更加嚴峻，這需要企業、安全服務商、電信運營商等產業鏈眾多廠商的協同才能實現DDoS的防御。