谈“D”色变，安全厂商与DDOS之间的博弈

DDOS，这个伴随着互联 发展而崛起的新型 络攻击技术，正在成为威胁企业用户信息安全问题的主要攻击手段。攻击者通常将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。据相关数据显示，22%的数据中心宕机是由DDOS攻击导致的，仅次于占比25%的错误的UPS(不间断电源)设备。并且，DDos攻击数量在过去几年呈现迅猛增长的趋势，在2013年DDos攻击只占数据中心宕机次数的18%，而2010年只有4%。这样的现象也让很多企业谈“D”色变。

可是企业为什么会如此容易受到DDOS攻击的影响呢？归结起来，笔者认为主要有以下几点：

第一，大量中小型企业没有或缺乏相应的安全措施。据了解，相当数量的企业在没有遇到信息安全问题之前，并不重视自己企业的信息安全建设，或者资金并不足以支持自身的信息安全建设。尤其是2015年，在克强总理“大众创业，万众创新”的口 下，大批创业公司涌入市场，然而大部分创业企业并没有明白“无安全，不创业”的道理，将安全问题抛诸脑后，导致大量损失出现。

第二，仍有相当一部分企业采用传统IT架构下的安全解决方案。传统安全解决方案往往是基于本地的规则库对于 络层进行单点防御，并且本地规则更新缓慢。这样的模式就给了黑客大量攻击机会。在云计算的浪潮下，攻击方式从传统的单点攻击走向了联动攻击。黑客往往会通过肉鸡控制大量服务器进行联动攻击，同时对攻击的数据包进行加密处理，这样就很容易绕过用户的防御系统，直接威胁企业的信息安全。另外，据相关数据显示，2015年，超过70%的攻击行为是针对应用层发起的，跟不上时代步伐的传统安全方案并不能保证企业的安全。

第三，攻击者的攻击行为更为多样、迅捷。目前，攻击者往往会采用一种或多种攻击方式对同一目标发起DDOS攻击，同时更倾向于强制挤占资源使服务变慢而不是直接阻断服务。并且DDOS攻击越来越迅捷，往往在攻击奏效后，便迅速撤离或者转移攻击目标，整个攻击过程往往不会超过一个小时。这就给企业带来了相当大的困扰，因为目前相当多的安全解决方案还停留在被动防御的阶段，对于未知威胁的感知和预判能力还相当有限，因此并不能做到对DDOS攻击的秒级防护。因此黑客的攻击往往会在企业用户的防御系统响应之前从容撤离。

那么在面对如此猖狂的DDOS攻击时，企业和安全厂商都有哪些应对方法呢？笔者曾经看到某位牛人总结的几个方法，在这里分享给大家：

(1)政府或者教育机构或许可以在ISP层面屏蔽流量攻击，其他机构大多数情况下并不可以；(2)对于自建的WEB应用服务器，企业可以利用高性能的DDOS防御系统跟踪分析攻击流量并对其进行清洗；(3)如果企业的 站托管在第三方，在收到DDOS攻击时可以采用类似于CloudFlare公司的DDOS防御解决方案，确保自身 站长期在线，同时提升 站性能、访问速度以及用户体验；(4)在某些极端情况，据说有些企业会通过更换ISP来转移攻击目标。

当然这些方法，还需要在安全厂商与企业用户的紧密配合下，才能得以顺利实施。那么在国内信息安全市场，都有哪些企业在抗D领域独树一帜呢？

第二，阿里云云盾：阿里云云盾是面向云计算用户的安全服务。其不同于其他抗D服务的显著特点是弹性的防御服务。阿里云云盾可以根据用户的流量大小自动调整防御策略，防护类型包括SYN flood、Ack flood、UDP flood、HTTP Flood/CC、DNS Query Flood以及NTP Reply Flood等所有DDoS攻击方式。并且，阿里云云盾在去年推出了高防服务，服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下，用户可以通过配置高防IP，将攻击流量引流到高防IP，确保源站的稳定可靠。值得关注的是，阿里云云盾曾经成功抵御过全球最大DDoS攻击，流量峰值达453G；

第三，腾讯云大禹：大禹系统是腾讯云安全业务旗下的抗D系统。大禹系统在腾讯云机房外侧部署了密集的防护节点，每个节点机房入口均部署了宙斯盾系统。在用户受到较小流量攻击时，宙斯盾系统会立即开启流量清洗服务；当用户受到较大规模流量攻击时，大禹系统会根据攻击的实际的影响情况，通过修改域名的解析结果，使得正常业务流量快速分摊到未受影响的节点上去，保障用户业务的正常运行。另外，由于每个防护节点自带的加速功能也可以提升 站页面的访问速度，改善用户体验。

第四，华为AntiDDoS防御系统：华为作为一家通信起家的公司，拥有遍布全球的运营商。欧洲、中东、亚洲和国内的一些大型运营商都是华为的客户。这种全球性质的分布，覆盖了亚太、欧洲及北美的主要互联 出口，并拥有清洗中心散布在各大运营商的互联 交换结点上，通过云调度系统联合协调运作，防范不同地域出现的超大流量攻击。另外，自2015年开始，华为联合业界合作伙伴，倡导发起云清联盟，开始正式对外提供云端DDoS防御服务。该联盟的理念是在全球范围内，将运营商、安全服务商和数据中心的资源整合，统一进行管理和调度。许多运营商都有一种担心，就是不管本身的抗D能力有多强，早晚都要面临超过其单独处理能力的大流量攻击，这也是华为成立云清联盟的初衷。

以上四家企业的抗D服务可以说是非常有特点的，当然还有其他厂商比如360、绿盟科技、启明星辰等知名安全厂商都有自己的抵御DDOS攻击的系统，笔者就不一一列举了。

DDOS攻击自出现以来，企业用户和安全厂商就一直与之做着坚持不懈的斗争，双方之间的博弈此消彼长。另外，在RSA2016开幕之际，16家中国安全厂商将远赴海外，向世界矛展现我国的安全防护实力。希望我国能在抗DDOS攻击领域走在世界前列，让中国乃至全世界的企业都不再谈“D”色变。