有數(shù)據(jù)顯示，近5年來 DDoS攻擊的流量已經從數(shù)十Gb飆升到1TB，設想一下，這樣的一個攻擊流量，對于企業(yè)用戶來說，無論如何難以抵擋。但是幸運的是，這種被稱為暴力洪水式的DDoS攻擊已經并不多見。原因在于，這種洪水式的攻擊通常會暴露受感染客戶端，導致資源被封，會損失攻擊者所掌控的寶貴資源。所以，有人將這種暴力洪水DDoS攻擊稱為“核武器”，不到萬不得已時候，是不會輕易使用的。

DDoS攻擊形態(tài)

如今，攻擊者更傾向于采用更加具有針對性DDoS攻擊手段。目前，主要有兩種方式：狀態(tài)耗盡攻擊和應用層攻擊。前者針對前面說過的防火墻等安全設備，因為這些設備有一個共同特征就是存在著“狀態(tài)特征”，狀態(tài)耗盡式DDoS就針對這些“狀態(tài)”實施攻擊，耗盡狀態(tài)資源。與暴力洪水相比，狀態(tài)耗盡DDos攻擊需要消耗的資源更，同樣可以達到攻擊、勒索的目的。應用層DDos攻擊就是針對應用軟件發(fā)動的攻擊。

有數(shù)據(jù)顯示，如今狀態(tài)耗盡、應用層DDoS攻擊逐漸遞增，已經可以占據(jù)DDoS 總攻擊流量的50%。對于這種新型的攻擊，無論是運營商，還是傳統(tǒng)安全設備基本上是束手無策。原因在于運營商實施的檢測主要集中在網絡2層、3層；沒有辦法對于4～7層內容實施檢測，提供安全防護；對于傳統(tǒng)安全設備來說，本身就是DDoS的攻擊對象。

階層式DDoS防護策略

針對DDoS攻擊新的特征。目前推薦的應對方法就是階層式DDoS防護策略，在客戶端添加APS（Availability Protection System）設備。據(jù)Arbor Networks大中華區(qū)總經理金大剛介紹，APS掛接在路由器之后，防火墻之前，是企業(yè)級安全防護的第一關口，較之防火墻等安全設備，APS是一種無狀態(tài)的設備，可以有效應對狀態(tài)耗盡攻擊，同時借助多年的經驗積累，以及400多家ISP運營商的數(shù)據(jù)合作，可以有效應對包括應用層在內的DDoS攻擊。

APS掛接在路由器之后，防火墻之前

很多時候，企業(yè)級用戶會感覺到系統(tǒng)響應緩慢，更多會把原因歸咎于網絡接入穩(wěn)定性等客觀條件，從而忽視了來自網絡的DDoS攻擊，這些攻擊不僅占用企業(yè)寶貴網絡資源，與此同時，也會時刻威脅企業(yè)信息系統(tǒng)的安全。

亡羊補牢，是時候關注APS網絡安全設備了！

songjy