DDoS攻击:绝对不容忽视的安全问题

　　在网络安全界，DDoS攻击已经不是一个新鲜的名词。最早的DDoS攻击可以追溯到1996年，在中国DDoS攻击于2002年开始频繁出现，2003年已经初具规模。然而近几年，这个老生常谈的网络攻击方式却以新的攻击方式，给带来巨大的网络安全威胁。

　　“事实上DDoS攻击并不是一个陌生的话题，但却是一个绝对不容忽视的安全问题。” 梭子鱼技术总监贾玉彬如是说道，“简单概述，目前DDoS攻击新趋势是：从TCP/IP层上移到了应用层。”

　　根据 Gartner预测，DDOS攻击会占2013年所有的应用层攻击中的25%左右。基于应用层的DDOS攻击每年以三倍的速度增长。在过去，DDOS攻击使用大量伪造的UDP, TCP SYN, 或者ICMP流量来意图淹没目标网络。然而，当今的攻击平台已经进化到包含应用层的DDOS攻击，目标是Web系统和DNS系统。

　　贾玉彬表示：“随着攻击手段和攻击目标的变化，将使得任何一个互联网上的应用都可能会成为攻击目标，70%以上的为随机受害者。”在他看来，目前DDoS攻击的手段和方式主要有三种：

　　1、大流量型攻击，主要凭借大量的僵尸网络和应用层DDoS攻击受害者的Web应用，例如大流量访问需要消耗大量系统资源的url，从而导致Web应用崩溃;

　　2、匿名者组织，这个组织通过社交网络组织大量人力并提供LOIC和JS LOIC两种工具，这些来自社交网络的人员都是真真正正的人而不是僵尸主机，所以这种攻击更难于防范;

　　3、慢客户端攻击，这种利用了HTTP协议本身的缺陷，只需要非常少量的资源即可快速使目标受害者的站点陷入瘫痪，典型的工具如 Slowloris，目前这种攻击目前非常流行，从协议的合规性分析，这种攻击流量是正常的流量，所以依靠特征库和黑名单技术的防护设备检测不出这种攻击。

　　面对呈现新形式的DDoS攻击，贾玉彬指出中国在抵御DDoS攻击方面所做的工作仍有很大的提升空间;“目前，大部分的企事业单位还停留在防御对网络层的DDoS的攻击防护或者是对大流量攻击的防护，这显然是不够的。”

　　对此，贾玉彬也为在如何防御DDoS攻击方面提出了建议。他指出，防御DDoS攻击需要重点做好两个方面防御措施：

　　1、部署边界网络防火墙和IPS，过滤网络层的DDoS攻击;

　　2、部署Web应用防火墙(WAF)，防御对应用层的DDoS攻击进行防护，前提是部署的WAF需要支持对僵尸(主机)网络攻击的识别和防护、慢客户端攻击的防护、匿名者攻击的防护。

　　不管怎样，当DDoS这种看似陈旧过时的攻击以新的攻击方式卷土重来的时候，如果不进行有效主动防御，那么本身就将有可能成为网络安全问题的一部分。对而言，这是一个绝对不容忽视的安全问题。