《2015年上半年DDoS威脅報告》中，綠盟科技發現DDoS攻擊存在兩極分化的態勢，大流量攻擊不斷增長（>100G的攻擊有33起）并開始走向云端，小流量攻擊（1分鐘以下42.74%）變身脈沖及慢速攻擊，主要針對行業業務特性。在此背景下，攻擊流量呈現混合化，并以UDP混合流量為主（72%）。

面對如此惡劣的DDoS攻擊態勢，主管機構、運營商、行業組織、廠商及用戶都在不斷開展DDoS治理及緩解工作，在解決方案除了本地清洗、云清洗方案之外，更出現了分層清洗、信譽云及近源清洗多種方案及實踐。

與此同時，基于SDN的攻擊模式及緩解技術，更讓筆者眼前一亮，由此也預測這些演變將與云計算及大數據一起，催生DDoS防護向下一代DDoS防護及APT時代邁進。

很多人的印象中，DDoS是一種野蠻的攻擊方式，我們就來重點看一下DDoS是如何和APT扯上關系的？報告指出了幾個特點：

攻擊業務多樣化

DDoS多年難以治理，有一方面原因就是因為業務形態的多樣性。隨著業務形態的不斷發展及演變，結構及業務流程越來越復雜，攻擊者無時無刻不在反復跟蹤分析這些業務特點及可能存在的問題，而攻擊形式也隨之而變。

攻擊流量多樣化

在2015年上半年數據顯示，在DDoS攻擊中，攻擊者往往混合使用多種攻擊手段和多種類型的攻擊源。UDP混合流量占主要比重，達到72%。這些流量組合正如前面的分析所展示的那樣，并非無的放矢，而是跟隨業務的特性發生的變化。

圖 UDP混合流量占據大比例

攻擊設備多樣化

如今，用戶連接互聯網的設備越來越多樣化，在終端方面，已經不再局限于PC，更多的設備也包括平板電腦、手機、電視等智能終端；同時，反射放大式攻擊，讓業界清晰的認識到，DDoS可利用的設備也不再局限于終端，更多的設備也包括路由器、打印機、攝像頭、掃描儀等智能設備。

在2014年的報告中，綠盟科技統計了全球的這些可能被利用的智能設備超過80萬，在6月份的數據中，我們統計了全球SSDP協議設備的分布狀況（如下圖），顯然一情況并未得到大的改觀，這也是基于SSDP協議的放大攻擊仍舊肆虐的原因。在此我們呼吁這些設備的廠商盡快發布相關補丁or升級相關固件，最終用戶也需要隨時關注升級信息，盡快升級及采用對應的防護措施，不要被利用，成為“攻擊者”！同時，在智能設備增加、混合流量攻擊模式下，傳統的業務場景和思路可能需要考慮新的模式和新的應用場景。

圖 全球SSDP分布情況

在這些智能設備中，手機等相關移動終端的大量接入及快速增長，勢必造成互聯網環境的改變，而且它們缺乏受普遍遵循的規范和標準，很多傳統的防護算法面臨挑戰。這種情況下，手機等移動終端被利用，成為攻擊者或者被攻擊者，只是一個時間或者時機的問題，防護廠商如何提供更有效的算法是當前行業需要解決的難題。

綠盟科技分析報告認為，2015年上半年DDoS的攻擊呈現兩極分化形式，一類持續大流量攻擊，尤其是針對高性能、高價值、大范圍的攻擊目標；另一類則呈現小而快、小而慢的形式，進入細分行業，主要是針對小流量及特殊業務目標；同時，也發現這兩類攻擊并非格格不入，而是伴隨著環境、業務、時間、流量、設備的變化而組合演變，這些演變將與云計算及大數據一起，催生DDoS防護向下一代DDoS防護及APT時代邁進。