三招教企業抵御小流量DDoS攻擊

   很多由僵尸網絡驅動的DDoS攻擊利用了成千上萬的被感染的物聯網，通過向受害者網站發起大量的流量為攻擊手段，最終造成嚴重后果。不斷推陳出新的防御方式使這種分布式拒絕服務攻擊也在變化著自己的戰術，從大流量向“小流量”轉變。一項數據顯示，5 Gbit/s及以下的攻擊威脅數量在今年第三季度同比增長超過3倍。

三招教企業抵御小流量DDoS攻擊（圖片來自mticollege.edu）

   Gartner指出，2020年全球將有超過200億的物聯網設備產生聯接，并且日均還會有約550萬臺設備加入到網絡環境，屆時有超過半數的商業系統內置物聯網組件。對此，傳統的桌面安全和本地防火墻是難以抵御新型網絡攻擊的，黑客只需要截獲某一個連接工具就能切入到設備端。

     越來越多的物聯網設備正淪為DDoS的盤中餐，隱私逐漸成為網絡交互的重要組成部分，在勒索軟件和各種流氓軟件隨處可見的今天，很多攻擊手段卻變得難以被探測，因此物聯網的加密措施至關重要。

   既然小規模攻擊不靠流量取勝，那么其隱蔽性就會更強，通用類的安全監測很難察覺。而且對于電商、金融等對網絡狀態高敏感的業務形式來說，應該有專門的服務去阻攔DDoS。應用層、協議級的攻擊正在成為主要威脅，攻擊者可以發起多維的向量攻擊。調查顯示，在DDoS保護服務遇到的攻擊中有86%以上使用了兩個或多個威脅媒介，其中8%包含五個或多個媒介。

   攻擊類型和目標的細分使得應用威脅較容量威脅有所區別，前者所需的流量是小規模的，可以通過每秒請求量計算，代表就是針對HTTP和DNS的攻擊。早在兩年前就有數據表明，網絡層DDoS攻擊已連續多個季度呈現下降趨勢，而應用層攻擊每周超過千次。

   或許小規模攻擊并不會瞬間搞垮業務癱瘓網站，但長期來看仍會引起安全問題，尤其是當前越來越多的數據被賦予了個人性標簽，商家需要這些信息對用戶進行畫像分析，這使得數據對黑客的價值提升了。對于服務商來說，這些小型的DDoS攻擊也會對服務質量造成影響，如帶來網絡阻塞的問題，而在體驗至上的時代，這點差別已足矣丟掉客戶。

   由此，引伸出來的重要問題是，到底怎樣才能有效抵御或者說有效遏制DDoS攻擊呢？首先，用戶要去嘗試了解攻擊來自于何處，原因是黑客在攻擊時所調用的IP地址并不一定是真實的，一旦掌握了真實的地址段，可以找到相應的碼段進行隔離，或者臨時過濾。同時，如果連接核心網的端口數量有限，也可以將端口進行屏蔽。

   相較被攻擊之后的疲于應對，有完善的安全機制無疑要更好。有些人可能會選擇大規模部署網絡基礎設施，但這種辦法只能拖延黑客的攻擊進度，并不能解決問題。與之相比的話，還不如去“屏蔽”那些區域性或者說臨時性的地址段，減少受攻擊的風險面。

   此外，還可以在骨干網、核心網的節點設置防護墻，這樣在遇到大規模攻擊時可以讓主機減少被直接攻擊的可能。考慮到核心節點的帶寬通常較高，容易成為黑客重點“關照”的位置，所以定期掃描現有的主節點，發現可能導致風險的漏洞，就變得非常重要。

   根據此前與從安全廠商了解到的消息，多層防護DDoS攻擊的方法仍然適用。例如，駐地端防護設備必須24小時全天候主動偵測各類型DDoS攻擊，包括流量攻擊、狀態耗盡攻擊與應用層攻擊；為了避免出現上述防火墻等設備存在的弊端，用戶應該選擇無狀態表架構的防護設備利用云平臺、大數據分析，積累并迅速察覺攻擊特征碼，建立指紋知識庫，以協助企業及時偵測并阻擋惡意流量攻擊。

   像以上的抵御方法還有一些， 如 限制SYN/ICMP流量、過濾所有RFC1918 IP地址等等，但歸根結底，還是要從根源上進行有效遏制，不要等出了問題再去想辦法，這也是DDoS攻擊“不絕于耳”的原因。

   隨著企業的數據規模快速增長，對業務敏捷性和安全性要求越來越高，網絡防護的責任將會空前巨大，而如何有效應對已經不是一兩家廠商的工作，要通過產業上下游在跨平臺、多環境的場景中進行深度挖掘，才能找到更可靠的安全防護措施。