DDoS防护亟需下一代解决方案

IDC在近期发布的《全球 DDoS 防御产品和服务预测2017–2021》中剖析了DDoS攻击与防御格局的最新变化及发展趋势，指出当前众多许多企业的基础设施中都存在过时的DDoS防护设备。这些企业在应对不断升级的DDoS攻击时，亟需动态化、智能化、自动化的下一代技术方案，才能处理如此海量、庞杂、多变的攻击

IDC指出，在当今天Anti-DDoS行业，针对下一代DDoS防御系统需求，A10 Networks 具有优越的技术定位，能够应对当前及未来的挑战，在全球下一代DDoS防护领域行业取得成功。

在过去3年，Spamhaus黑名单长度剧增达到了难以置信的数十亿条；同时，随着IoT物联网的蓬勃发展，到2020年物联网设备的数量预测将超过500亿台，随之而来的物联网终端的攻击与威胁将与日俱增。

一切预示着全新安全攻击时代的到来。IDC研究表明，企业不能再仅仅依赖于针对阻止单一攻击而设计，操作繁琐、行动迟缓、防护粗暴的过时Anti-DDoS 设备。

IDC行业研究表明，DDoS攻击动机越来越宽泛，包括恶作剧、政治原因、财务收益或盗取知识产权。近期发生的很多攻击事件表明，任何机构不论规模大小、所处位置、及所属行业与否都是DDoS的潜在攻击对象；

传统的DDoS攻击通常是指全面泛滥的恶意通信，导致网络瘫痪、中断、业务受损。但是，随着当今海量物联网设备加入互联网，Mirai僵尸网络源代码的引入，以及像Reaper和Satori这样的Mirai衍生产品，这些因素大大增加了DDoS的攻击体量和便利度。

近期引人注目的大型攻击之一是对知名记者 Brian Krebs 的网站的攻击，这标志着庞大物联网威胁的开始。攻击流量超过了 620Gbps，甚至导致DDoS 防御提供商无法承受巨额清洗成本，最终被迫与客户分道扬镳。

IDC 认为，这种类型的攻击将会持续下去，而利用新一代媒介来破坏业务关键型服务的攻击也会持续发生。

早期的DDOS攻击的主要对象主要是对准OSI七层模型中的网络层和传输层，攻击手法也比较单一，ICMP Flood, Smurf Attack, IP/ICMP Fragmentation、Syn Flood、UDP Flood、TCP Flood等是主要的一些攻击种类。由于每次攻击覆盖的层面较少，还比较容易拦截。

随着技术的发展，现在的攻击层面已经覆盖OSI 七层模型中的所有层面。如下图所示，不同的层面都有不同类型的攻击。从物理层的信号Sniffer, 到传输层的放大攻击和长连接TCP会话攻击，最终到应用层的针对DNS的攻击、各种HTTP加密攻击和慢速攻击等，攻击手法和攻击种类都发生了极大进化。

与传统的攻击形式相比较，当今攻击种类变得日益丰富，原来的攻击只是针对OSI七层模型中的一到两个层次进行，主要是网络层攻击或传输层攻击。现在的攻击者可以在OSI七层模型中的任意一层展开多点攻击，同时攻击者还可以同时对所有的层面发起攻击。

当今所说的多向量攻击，就是在一次攻击活动中使用多点多层次的攻击方法来进行全方位的攻击。只要企业防御机制中的一点被攻破，攻击者就可以利用该点获取被攻击者更多的信息，从而寻找新的漏洞，进一步针对性的改变攻击方法，最终导致被攻击者的防御体系失效，致使被攻击者不能提供正常服务。 由于此类攻击行为使用的攻击方法繁多，可以针对OSI七层模型中的所有层面，而且攻击方法会随着情况的变化而快速演变，这对企业的安全防御机制和人员素质提出了很高的要求，为企业的安全带来了众多新的挑战。

IDC调查显示，随着DDoS攻击格局的巨大变化，近 30％的受访者去年遇到6至10次DDoS攻击，超过10％的受访者遇到 51至100 次攻击。

不幸的是，即使是已经部署了传统DDoS防护设备的大部分企业也不具备必要的人力与技术资源来应对迅速变异的DDoS攻击。

除了DDoS攻击频率之外，企业在应对当前DDoS攻击威胁时还面临几项关键挑战：

当攻击来临时，

IDC认为，与其他安全领域类似，受制于DDoS攻击格局的迅速演变，无论是传统方案提供商还是企业运维方在DDoS防护领域普遍存在技能差距，这会影响到企业抵御DDoS 攻击的能力。同时，由于新一代DDoS 攻击本身的技术特性，对于企业IT主管而言难以证明 DDoS 防护的投资回报（因为它是一种“可能”发生的攻击），部分企业难以安排专门和适当的资源来抵御攻击。

IDC建议，企业不能再依赖于传统的、只针对阻止单一攻击方位而设计的DDoS防护。

防御措施必须划分层次，保护企业免受内部和外部攻击，以及对基础设施和个人应用的攻击。

因此，企业需要通过转向下一代DDoS防御解决方案从而获得各种效率。下一代方案的价值表现为：