防護組織網(wǎng)絡免受DDoS攻擊長久以來是一項巨大的挑戰(zhàn)，如今網(wǎng)絡犯罪正變得更加猖狂，輿論新聞也都充斥著關(guān)于DDoS攻擊、數(shù)據(jù)泄露或其他安全問題。然而，即使在如今日益猖狂的DDoS威脅下，許多組織還相信其幾年前引入的DDoS防護設備現(xiàn)在依然有效。在這些例子中，這些組織在用其自身的網(wǎng)絡做賭注。到了應該揭露一些對于DDoS誤解的時候了。

　　5個關(guān)于DDoS防護的常見誤解

　　誤解 #1：防火墻、IPS 或內(nèi)容分發(fā)網(wǎng)絡能解決問題

　　IT基礎架構(gòu)的演變以及對于第三方云的依賴早就形成一個復雜的環(huán)境，周界不復存在。諸如防火墻和IDS/IPS的傳統(tǒng)“周界”安全解決方案仍然是集成安全態(tài)勢的關(guān)鍵部分。然而，因為這些設備會進行網(wǎng)絡連接的狀態(tài)檢測，此過程容易遭受 DDoS攻擊，反而使情況惡化。

　　許多組織還錯誤地相信內(nèi)容分發(fā)網(wǎng)絡(CDN)能為阻止DDoS攻擊提供解決方案。事實上，一個CDN僅可解決一個DDoS攻擊癥狀。通過吸收如此大量的數(shù)據(jù)，一個CDN實際上能將所有信息引入網(wǎng)絡之中。此外，大部分以CDN為基礎的DDoS防護解決方案僅專注于吸收HTTP/HTTPS DDoS攻擊，而忽略了所有其他諸如NTP/DNS的放大攻擊，此類攻擊極為常見。

　　誤解 #2：單層 DDoS 防護足以應對攻擊

　　由于現(xiàn)在的DDoS攻擊正從使用容量、TCP 狀態(tài)枯竭和應用層攻擊向量的方向集合，業(yè)界推薦各組織使用的最佳方法是分層防護方法。

　　在多如潮水般的攻擊壓垮本地網(wǎng)絡連接或內(nèi)部部署的DDoS防護系統(tǒng)之前，阻止這些攻擊的最佳位置是在安全提供商云的上游。并且，阻止秘密應用層攻擊的最佳位置是用戶端，因其靠近關(guān)鍵應用或服務的位置。同樣重要的是，您必須擁有由最新威脅智能感知支持的這兩個層面的智能形式交互，以阻止動態(tài)DDoS攻擊。

　　不幸的是，許多組織僅選擇一層防護，造成其DDoS防護解決方案不完整。

　　誤解 #3：我們有可能不會成為目標，所以值得冒險

　　那么，DDoS攻擊數(shù)量飛速增長主要因素有兩個：發(fā)起攻擊很容易，并且攻擊動機多樣。歷史上從未像現(xiàn)在這樣如此容易地發(fā)起DDoS攻擊。任何人都可以僅通過免費或向第三方付少量費用的情況下，下載自助DDoS攻擊工具，從而非常輕易地發(fā)起DDoS攻擊。而發(fā)起攻擊的成本僅為數(shù)十美元，但組織的損失可能達到數(shù)千萬美元。DDoS攻擊背后的動機多種多樣，包括不再為獲得經(jīng)濟利益或由國家贊助的組織發(fā)起的DDoS攻擊。

　　如今，可能僅僅因為意見不合或基于某議題的政治立場或態(tài)度不同而使用多種工具或服務來發(fā)起DDoS攻擊。更糟糕的是，如果您的服務基于共享云環(huán)境，即便您不是DDoS攻擊的目標，也可能遭受相關(guān)損害。所以您應捫心自問：“我真的那么幸運嗎？”

　　誤解 #4：DDoS攻擊的影響不值得防護系統(tǒng)的增加成本

　　DDoS攻擊的影響會顯而易見并且十分嚴重。事實上，許多組織并未進行有效的風險及應對措施分析，從而無法為其購買DDoS防護解決方案提供可靠依據(jù)。當然，算出盈利服務停機成本可能很簡單；但您是否全面考慮過其他DDoS攻擊的相關(guān)成本？

　　許多間接成本常常被人們忽略，比如SLA信貸、法律/管理費用、品牌形象維護的公關(guān)成本、客戶流失等等。甚至在一些記錄在冊的案例中，有高管或董事會成員因為對阻止DDoS攻擊及其他威脅未作充足準備而被解雇。

　　誤解 #5 - DDoS攻擊并非高端威脅

　　確實，就技術(shù)而言，DDoS攻擊本身可能并不高端。然而，最近對僵尸網(wǎng)絡和DDoS攻擊的研究結(jié)果表明，它們實際上與使用惡意軟件、RAT的高級威脅行動關(guān)系密切。

　　例如，有記錄在冊的案例顯示，DDoS攻擊會出現(xiàn)在下述情況：

• 在早期偵查階段用以測試某組織回應某種威脅的能力；
• 在惡意軟件傳輸階段，用以填寫安全法醫(yī)產(chǎn)品日志和數(shù)據(jù)文件；用以讓已植入的惡意軟件更加難以被搜索到；
• 數(shù)據(jù)提取階段用以作為轉(zhuǎn)移注意力的策略工具。

　　所以這就引發(fā)了一個問題：“最近這次DDoS攻擊是孤立事件，還是只針對本組織的未來高級威脅行動的一部分？”為了保險起見，強烈推薦您使用全球威脅智能感應系統(tǒng)，在威脅降臨之前就可積極“搜尋”危害或違規(guī)跡象。

　　智能、多層次DDoS保護方法應運而生

　　使用諸如防火墻或IPS的傳統(tǒng)安全解決方案存在巨大風險。您能夠承受您的關(guān)鍵應用程序無法使用的風險壓力嗎？您能夠承受某項入侵事件造成的數(shù)百萬客戶機密信息曝光的成本嗎？實際上，您非常需要使用一種集成的、多層次的DDoS防御解決方案來時刻保護您的組織。

　　關(guān)于 Arbor Networks

　　Arbor Networks， Inc  幫助確保世界最大的企業(yè)和服務提供商網(wǎng)絡免受 DDoS 攻擊和高級威脅。根據(jù) Infonetics Research 的報告，Arbor 是企業(yè)、運營商和移動細分市場世界領先的本地 DDoS 防護提供商。Arbor 的高級威脅解決方案通過結(jié)合數(shù)據(jù)包捕獲和 NetFlow 技術(shù)提供全面的網(wǎng)絡可視性，從而能夠快速檢測和緩解惡意軟件和惡意內(nèi)部人員攻擊。Arbor 還提供市場領先的動態(tài)事件響應分析、歷史分析、可視化和取證服務。Arbor 致力于成為“力量倍增器”，使網(wǎng)絡和安全團隊成為專家。我們的目標是提供更豐富的網(wǎng)絡狀況信息和更安全的環(huán)境--這樣客戶就可以更快地解決問題，并且?guī)椭鷾p少其業(yè)務面臨的風險。