【IT168 专稿】“随着近年来黑客行为的不断增多，越来越多的企业网站开始受到黑客的攻击。廉价和易于获取的攻击工具的泛滥使得任何人都能进行DDoS攻击。另一方面，商业DDoS服务现正全速运转，有多种服务模式可供选择。‘雇佣’僵尸网络正四处蔓延，即使拙劣的攻击者现在也能以低廉的价格雇佣僵尸网络服务。” Arbor Networks 中国区总经理蔡志刚在接受媒体采访时这样谈到。

▲Arbor Networks 中国区总经理蔡志刚

　　调查显示，2011年已经有100Gbps级的攻击，超过了2009年发生的最大攻击规模的两倍。虽然发起DDoS攻击的门槛很低，但是它给被攻击者带来的危害确可以很大，另据数据表明，如果DDoS攻击成功，企业平均24小时损失630万美金。DDoS不仅导致经济上的损失，还会影响企业的信誉、品牌等无形的损失，这比直接经济损失更严重。除此之外，出于政治目的的DDoS攻击甚至有可能危及到国家的稳定。因此，任何可能因为政治或经济利益的网络服务或者是网站都必须要有相应的检测和防护措施。

　　DDoS攻击防护需要更专业的方案

　　蔡志刚谈到：“现在企业所面临的DDoS攻击已经不是说会不会遭受攻击的问题，而是时间的问题。只要企业的业务与网络、互联网有关系就可能遭受到DDoS的攻击。目前，业界很多的安全硬件产品如防火墙、IDS等都号称有防DDoS攻击的功能，但是问题是，如果你用防火墙、IDS是否能防得住DDoS攻击呢，答案基本上是否定的。”

　　特别是中大型的数据中心甚至是IDC，如果只是用防火墙来做防DDoS攻击，或者是在IDS基础上再加一些防DDoS功能来防DDoS攻击，那就不用想了后果会是什么样了。

　　分析原因，蔡志刚谈到，防火墙和IDS本身就是DDoS攻击的对象，就是非常薄弱的一个环节。还有一个原因，如果在防火墙或IDS再加上防DDoS攻击的功能，会使系统不堪重负，即使理论上可以防DDoS攻击，但因为系统的不堪重负，也会让企业的网络可用性遇到瓶颈问题。

　　DDoS攻击面临两个极端

　　蔡志刚介绍到，DDoS攻击目前正面临着两个典型的极端，一是流量攻击，二是应用层的攻击。流量攻击的特点是流量大甚至超带宽，应用层攻击的特点是流量相对较小、速度慢。还有第三种形式的混合式的攻击，既有应用层的慢速低流量攻击，又有大流量甚至超带宽的攻击，这种是最难防御的。在防DDoS攻击领域，最难的就是这些特点。

　　两大产品应对不同场景的DDOS攻击

　　Pravail可用性保护系统(APS)主要是针对企业的应用层DDoS攻击，它本身是一套可独立使用的清洗解决方案，包括检测、清洗。应用层DDoS攻击需要现场保护，因为，与云中可完全缓解的洪水攻击相比较时，应用层DDoS攻击一般消耗很小的带宽，而特性更加隐秘，比如不断与服务器上的应用建立HTTP连接，从而耗尽表空间等资源，导致正常的用户无法连接。这些攻击瞄准的是著名的应用程序的具体特点，比如HTTP、DNS、VoIP或简单邮件传输协议(SMTP)。Arbor的Pravail可用性保护系统(APS)是第一个现场安全产品，可集中保护企业周边免遭可用性攻击——尤其是能防止应用层DDoS攻击。

　　Peakflow SP是专门针对服务运营商、主机托管服务提供商和企业而设计，用于确保网络可视性和可用性。目前，全球许多企业、主机托管服务提供商和大多数世界顶尖互联网服务供应商都在使用Arbor Networks Peakflow SP来提供所需要的全网可视性和安全性，以便积极主动地阻挡各种而已威胁并挫败DDoS攻击，从而提高自己的服务质量。（kaduo）