網(wǎng)絡(luò)安全領(lǐng)域，DDoS攻擊和防御問題始終是人們關(guān)注的重點。眾多互聯(lián)網(wǎng)企業(yè)依賴流量運營，對抗DDoS攻擊的服務(wù)對他們來說是必不可少的。然而，這項服務(wù)背后涉及的業(yè)務(wù)需求復(fù)雜多樣，產(chǎn)品形態(tài)也各不相同。而且，DDoS攻擊手段持續(xù)變化，防御工作并不簡單。這些都是我們不能忽視的關(guān)鍵問題。

互聯(lián)網(wǎng)企業(yè)的剛性需求

現(xiàn)在，互聯(lián)網(wǎng)公司眾多，其中不少依賴流量來推動自身成長。比如視頻直播等媒體平臺，它們常常遭遇DDoS攻擊。國內(nèi)用戶訪問數(shù)據(jù)表明，這種現(xiàn)象十分普遍。2016年第三季度的互聯(lián)網(wǎng)發(fā)展安全報告也反映了這一點。國內(nèi)這類問題相當(dāng)突出，因為SaaS服務(wù)尚不完善，遇到攻擊時處理起來更為困難。對于互聯(lián)網(wǎng)企業(yè)來說，要保證正常運營，抗D服務(wù)是必不可少的。這種需求在保障企業(yè)運營安全方面至關(guān)重要。尤其是直播類媒體應(yīng)用，一旦遭受攻擊，用戶體驗將嚴(yán)重受損，直接影響到企業(yè)的收益。

各行業(yè)里，那些用戶眾多的公司普遍對DDoS攻擊憂心忡忡。原因在于用戶基數(shù)大，一旦遭遇攻擊，用戶滿意度會降低，品牌形象也會受損。以直播平臺為例，若用戶在觀看直播時遇到畫面卡頓或無法觀看的問題，對平臺的好感度自然會下降。

產(chǎn)品服務(wù)形態(tài)多樣

ISP近源清洗技術(shù)是一種方法。它通過收集覆蓋整個電信網(wǎng)絡(luò)核心路由器的數(shù)據(jù)，實現(xiàn)攻擊的監(jiān)控，包括SYN flood、Ack flood等多種攻擊類型。云清洗/CDN能夠硬抗BGP和CDN引流清洗，同時在應(yīng)用層對抗DOS攻擊有多種應(yīng)對策略。市面上有Arbor、知道創(chuàng)宇盾等多種產(chǎn)品。級近目的清洗在發(fā)現(xiàn)攻擊時，會將流量引導(dǎo)至旁路部署的DDOS清洗設(shè)備，具備對業(yè)務(wù)流量基線的自適應(yīng)學(xué)習(xí)能力，并能根據(jù)基線智能攔截。WAF抗CC - OS&APP層主要針對CC攻擊進(jìn)行防護(hù)，涉及天融信等多家硬件廠商。企業(yè)可以根據(jù)自身需求，選擇不同的產(chǎn)品和服務(wù)形態(tài)。

企業(yè)規(guī)模各異，對產(chǎn)品服務(wù)的需求亦有所區(qū)別。大企業(yè)可能更偏好全面防護(hù)的云清洗或CDN硬抗等高級防護(hù)手段，而小企業(yè)則可能更看重性價比，選擇其他成本較低的產(chǎn)品形態(tài)。比如，那些資金有限、剛涉足安防領(lǐng)域的小直播公司，可能會選擇較為經(jīng)濟(jì)、操作簡便的防護(hù)方案。

產(chǎn)品功能對比的難點

產(chǎn)品功能對比挺難的。DDoS攻擊是違法的，不能公開展示測試成果。而且我們自己的資源有限，短時間內(nèi)難以制造出大量攻擊數(shù)據(jù)。比如測試VPS主機(jī)運行的業(yè)務(wù)系統(tǒng)，我們用的是一種比較巧妙的辦法。我們通過分布式CC攻擊，還有在網(wǎng)上尋找代理IP等方法來進(jìn)行測試。有時候會發(fā)現(xiàn)，傳統(tǒng)的7層以下DDoS攻擊手段在CPU過載的情況下可能不起作用，但CC攻擊卻能成功。所以，只看表面對比產(chǎn)品功能是不夠的。

在實際操作中，測試結(jié)果需綜合考慮多個指標(biāo)。比如，不僅要看網(wǎng)絡(luò)帶寬的使用，還要關(guān)注CPU的負(fù)載情況。若攻擊導(dǎo)致CPU過載，比如數(shù)據(jù)庫查詢耗費大量CPU資源，這表明產(chǎn)品在應(yīng)對此類攻擊時存在不足。這樣的情況也為產(chǎn)品功能的優(yōu)化指明了方向。

四兩撥千斤的攻擊方式

現(xiàn)在的DDoS攻擊，像CC模式這樣的，就是所謂的以小博大。就像演示中所見，只需1000個代理，通過CC攻擊就能讓服務(wù)器后端數(shù)據(jù)庫查詢出現(xiàn)故障，導(dǎo)致CPU負(fù)荷加重。若投入1000元就能獲取更多穩(wěn)定的代理，那么對服務(wù)器接口的破壞將會更加嚴(yán)重。此類攻擊通常針對服務(wù)器弱點，投入成本不高，卻能造成巨大損害。

企業(yè)遇到此類攻擊需提高警惕。流量并非萬能，此問題需從網(wǎng)絡(luò)七層著手加強(qiáng)CC防護(hù)。忽視這些潛在威脅，服務(wù)器可能隨時遭受重創(chuàng)。以電商平臺為例，在促銷等流量高峰期，一旦CC攻擊成功，平臺交易將陷入癱瘓，損失可能非常巨大。

防御產(chǎn)品的復(fù)雜性

DDoS防御產(chǎn)品并非僅僅是流量上的較量。通過前面提到的攻擊手段，我們可以了解到，除了流量防護(hù)，還需對如CC攻擊等七層攻擊進(jìn)行針對性防御。不能以為只要能處理大量流量就足夠了。各類防御產(chǎn)品各有其特點。有的在近源清洗方面有優(yōu)勢，有的則可能在應(yīng)對應(yīng)用層攻擊上更為出色。

企業(yè)在挑選防御工具時需進(jìn)行全面考量。以一家從事視頻會議的互聯(lián)網(wǎng)公司為例，它們不僅要抵御流量攻擊，還需應(yīng)對CC攻擊對視頻傳輸?shù)母蓴_等問題。因此，必須全面考慮防御工具的各項功能及其對抗各類攻擊的效能。

企業(yè)應(yīng)對策略的思考

企業(yè)需依據(jù)自身業(yè)務(wù)特點來設(shè)定對策。首先，需明確自身業(yè)務(wù)最易受到的攻擊種類。若業(yè)務(wù)以APP為核心，那么就需要特別加強(qiáng)操作系統(tǒng)和APP層的CC攻擊防護(hù)。接著，依據(jù)預(yù)算挑選合適的防御工具和防護(hù)方式。切勿盲目模仿他人，不應(yīng)簡單地照搬他人的選擇。

企業(yè)還需留意安全動向。網(wǎng)絡(luò)攻擊技術(shù)持續(xù)演變，防御策略也應(yīng)不斷更新。比如，隨著5G技術(shù)的推進(jìn)，可能會有新型攻擊方式涌現(xiàn)，企業(yè)需未雨綢繆。

那么，大家覺得，自己所在或了解的企業(yè)，在遭遇DDoS攻擊時，可以采取哪些更有效的應(yīng)對措施？歡迎在評論區(qū)留言討論，同時，也請點贊并轉(zhuǎn)發(fā)這篇文章。