面对不断演变的DDoS攻击，我们该如何应对？

DDoS防护难题由来已久，但为何简单粗暴的DDoS攻击手法为何时至今日依然有效，并成为困扰各大网站稳定运营的“头号敌人”呢？实际上，这与DDoS攻击不断变化演进不无关系。面对此种态势，企业又该如何开展积极有效地防御部署呢？有专家指出，只有多层级的DDoS防护才是王道。

　　那么面对上述DDoS攻击趋势，目前的主流DDOS防护机制无法胜任么？按派系划分，现阶段DDoS防护的主流厂商大致可分为三个派系。  
　　一类为基于防火墙、入侵检测系统、Web应用防护系统、负载均衡设备加上DDoS防护方案的厂商，一类是当地运营商或流量清洗中心，还有一类是CDN厂商。

　　不过对于上述各派的抵御DDoS方案来说，或多或少都存在一些软肋“罩门”。比如，第一类厂商推出的传统安全设备，原本不是为了DDoS防护所设计的。因此，这些有状态表（Stateful）的设备， 很容易在发挥出DDoS防护机能之前就被攻击者利用状态耗尽攻击而自身难保了。而一些非专业DDoS保护设备则容易造成误判。

　　对于运营商或ISP流量清洗中心来说，虽然可以提供有限的流量清洗能力， 但面对暴力流量攻击发生时， 往往仍然无法进行有效清洗，或者说洗不干净，而且无法主动侦测L7等攻击行为以及不能掌控预算花费，在DDoS防御的纵深度上有一定欠缺。

　　而对于CDN厂商来说则往往欠缺防御广度，例如其不能阻挡非网页型态的攻击行为；针对实际IP进行攻击也无法拦截；动态网页型的客户则无法阻挡状态耗尽攻击；受限金融法規规范，对金融交易所需加解密无法支持等等。
 
 　既然现阶段的DDoS防护方案都存在这样或那样的不仅人意，究竟该如何应对DDoS攻击呢？现在已经有答案了，一个完善可靠的DDoS防护，必须采用多层级的全方位阻断策略。而这样的防护体系需要具备下面的六大特征：

　　第一，驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击，包括流量攻击、状态耗尽攻击与应用层攻击。

　　第二，驻地端防护设备只要侦测到攻击流量后，即可实现阻挡。

　　第三，利用可用性保护系统（APS）设备，可以自动阻挡攻击者的试探性流量，并推迟其后续攻击频率，积极防御。

　　第四，为了避免出现上述防火墙等设备存在的弊端，用户应该选择无状态表架构（Stateless Architecture）的防护设备。

　　第五，利用云平台、大数据分析，积累并迅速察觉攻击特征码，建立指纹知识库（Signature Database），以协助企业及时侦测并阻挡恶意流量攻击。

　　第六，将APS设备与云端清洗中心相结合，开展联动防护。

　　由此可见，通过上面的全方位阻断策略，企业不仅可以构建出一套高效的多层级DDoS防护体系，还能够在日益难缠的DDoS攻击面前立于不败之地了。
关于墨者安全

墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDOS攻击防御。