根據(jù)Link11組織發(fā)布的一份針對DDoS的研究報告顯示，2021年上半年DDoS攻擊次數(shù)創(chuàng)下歷史新高，與去年同期相比，攻擊數(shù)量增加了33%。

安全專家表示，DDoS活動的規(guī)模已遠超前幾年，因此受到嚴重安全漏洞威脅的企業(yè)數(shù)量急劇上升。DDoS攻擊可能導(dǎo)致受害企業(yè)經(jīng)濟受損和敏感數(shù)據(jù)泄漏。這意味著我們需要在檢測和抵御攻擊方面尋求相應(yīng)的解決方案。

*DDoS，也叫分布式拒絕服務(wù)。一般是指一個攻擊者利用互聯(lián)網(wǎng)側(cè)的系統(tǒng)漏洞控制位于不同位置的多臺聯(lián)網(wǎng)主機（俗稱“肉雞”），使其成為攻擊者的代理，對目標網(wǎng)站發(fā)起大量請求，大規(guī)模的消耗目標應(yīng)用的資源，導(dǎo)致網(wǎng)站/應(yīng)用服務(wù)器擁塞，無法正常對外提供服務(wù)。

想要防范DDoS攻擊，需要先從攻擊方式、手段來了解其攻擊類型：

01 從攻擊方式看

DDoS攻擊包括傳統(tǒng)攻擊：SYN Flood、HTTP Flood、UDP Flood、ICMP flood等；

反射放大攻擊：NTP Flood、SSDP Flood、DNS Flood等；

目前比較新型的DDoS攻擊：DNS 協(xié)議安全漏洞“NXNSAttack”、RangeAmp 攻擊、基于 HTTP2.0 的新型 CC 攻擊。

02 從攻擊手段看

DDoS攻擊常用的手段是僵尸網(wǎng)絡(luò)。它是指采用單一或者復(fù)合型手段將大量的主機感染僵尸程序病毒，然后在控制者和被感染主機之間形成一個可以一對多控制的網(wǎng)絡(luò)。

其中比較有代表性的僵尸網(wǎng)絡(luò)Mirai，屬于影響比較大的Linux/IoT DDoS 家族。同時也是一個新型的基于物聯(lián)網(wǎng)（IoT）設(shè)備的惡意軟件，可通過入侵攝像頭、路由器等設(shè)備，形成具有規(guī)模的僵尸網(wǎng)絡(luò)。

隨著Mirai不斷地變異，在未來，其變體有很大概率會瞄準基于5G網(wǎng)絡(luò)的新型物聯(lián)網(wǎng)設(shè)備，如車載設(shè)備、機器人、運動手表以及各種可以穿戴設(shè)備、醫(yī)療設(shè)備、國家軍用武器等，攻擊者會想方設(shè)法在這些設(shè)備上植入相應(yīng)的僵尸程序，進而控制它們并發(fā)起DDoS攻擊。

在DDoS攻擊逐步規(guī)?；也粩嘧儺惖男蝿菹?，應(yīng)該如何進行安全建設(shè)來實現(xiàn)有效防御呢？

以下主要從國家側(cè)、平臺側(cè)、用戶側(cè)三個層面介紹DDoS攻擊的防御手段。

01 國家側(cè)

法制打擊，以《刑法》第二百八十六條破壞計算機信息系統(tǒng)罪條款為依據(jù)，通過公安部網(wǎng)絡(luò)安全保衛(wèi)局設(shè)立的網(wǎng)絡(luò)違法犯罪舉報網(wǎng)站或110報警，嚴厲打擊DDoS攻擊類的網(wǎng)絡(luò)違法犯罪行為。

針對互聯(lián)網(wǎng)中的“僵木蠕”泛濫情況，工信部制定考核指標，要求中國電信、移動、聯(lián)通三大運營商監(jiān)控各級骨干網(wǎng)、國際互聯(lián)網(wǎng)出口，按照《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機制》（工信部保〔2009〕157號）、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》（工信部網(wǎng)安[2017]202號）等條例進行細化落實，建立互聯(lián)網(wǎng)側(cè)的監(jiān)測和處置機制，完成嚴查“僵木蠕”流量，清洗DDoS攻擊流量，封堵控制端，下線受控端等一系列操作。

02 平臺側(cè)

云平臺高防IP，可以將攻擊流量引流到高防IP，全面防御ACKFlood、SSDP Flood、DNS Flood、HTTP Flood、CC等攻擊，確保源站的穩(wěn)定可靠，解決源站遭受大流量的DDoS攻擊后引起的服務(wù)不可使用的問題。

高防DNS的DDOS清洗能力，可以應(yīng)用于域名解析的各種攻擊防御系統(tǒng)，防御對象覆蓋T級別的超大流量的DDoS攻擊以及峰值超5億QPS的DNS Query Flood攻擊等。

高防CDN，可將源站內(nèi)容分發(fā)到多個高防服務(wù)器節(jié)點，防御大流量的DDoS攻擊，隱藏源站IP，在網(wǎng)站遭受攻擊后可快速切換到高防服務(wù)器節(jié)點，提高網(wǎng)站的可訪問性。

03 用戶側(cè)

IP輪詢技術(shù)

在DDoS攻擊達到一定峰值的時候，通過IP輪詢機制，在IP池中靈活調(diào)取一個新的IP充當業(yè)務(wù)IP，讓攻擊者失去攻擊目標，保證業(yè)務(wù)在DDoS攻擊下可以正常運轉(zhuǎn)。

定期檢查

定期對企業(yè)現(xiàn)有的網(wǎng)絡(luò)及主機服務(wù)器進行檢測、掃描、滲透，檢測是否存在可被利用的漏洞，修復(fù)安全漏洞，加強安全防御參數(shù)，防止黑客利用這些漏洞進行DDoS攻擊。

提高服務(wù)器抗打擊能力

DDoS攻擊主要是通過大量合法的請求來占用網(wǎng)絡(luò)資源，因此要提高服務(wù)器抗打擊能力，在經(jīng)濟允許的范圍內(nèi)提高多線路高帶寬及服務(wù)器的運算能力，并建立多節(jié)點的負載均衡。

提高應(yīng)用級抗打擊能力

通過在操作系統(tǒng)、應(yīng)用、代碼等方面進行優(yōu)化，例如優(yōu)化操作系統(tǒng)的TCP/IP 棧；應(yīng)用服務(wù)器嚴格限制單個IP允許的連接數(shù)和 CPU 使用時間；編寫代碼時，盡量實現(xiàn)優(yōu)化并合理使用緩存技術(shù)，最大程度減少網(wǎng)站的不必要動態(tài)查詢。

過濾或者關(guān)閉不必要的服務(wù)和端口

通過防火墻關(guān)閉不必要的服務(wù)和端口、開啟源路由檢測過濾假IP，讓服務(wù)最小化，減小受攻擊幾率。

綜上所述，清晰地認識DDoS攻擊的危害和掌握其防御手段是非常重要的。在面對DDoS攻擊時，如果沒有準備好充足的資源、缺少專業(yè)的高防產(chǎn)品，缺乏豐富的處理經(jīng)驗，將會對企業(yè)關(guān)鍵業(yè)務(wù)造成不可挽回的損失，如大量的用戶流失、數(shù)據(jù)被破壞或竊取等。

當然，如果企業(yè)想要更加有效的應(yīng)對DDoS攻擊，還可以借助專業(yè)安全團隊的力量。天融信安全服務(wù)團隊可結(jié)合企業(yè)特點及實際需求，為企業(yè)制定應(yīng)急預(yù)案、開展應(yīng)急演練。演練中還原真實DDoS攻擊場景，為企業(yè)驗證防護流程、人員分工、事件處置、防御措施等有效性，達到提升組織協(xié)調(diào)性、防護策略有效性的目的。