梭子鱼网络技术总监贾玉彬表示，传统的DDoS攻击使用大量伪造的UDP、TCP SYN或者ICMP流量对目标网络进行泛洪攻击，针对的是ISO模型的3、4层（IP+端口）。而现有的攻击，更多指向应用层DDoS攻击，其目标是Web应用系统和DNS系统，针对的是ISO模型的应用层（7层/HTTP、HTTPS），例如大量针对消耗Web服务器资源的URL（比如需要数据库卖写操作等）的请求，再比如利用HTTP协议的漏洞的攻击（慢客户端攻击）。

　　在这种全新的网络攻击技术下，企业传统的防御技术已经显得有些力不从心，传统的网络层防火墙对应用层的攻击识别非常有限。而且从攻击者的角度来看，应用层的DDoS攻击需要更少的资源和可以更隐秘地进行，他们能在网络基础设施仍然有回应的情况下秘密地使应用服务不可访问，达到拒绝服务的效果。
传统的僵尸网络是指感染了恶意程序的网络中的PC从而被C&C服务器控制的一个网络，虽然庞大但是毕竟PC软硬件技术成熟，可利用的漏洞也会及时发现并进行升级，但是最新的攻击手法不但是利用了传统PC，也在使用智能移动设备，你所使用的手机、平板甚至是智能电视和基于云的中端设备。

　　梭子鱼网络技术总监贾玉彬指出，企业在应对应用层DDoS攻击，应用层流量的可视性和可控性是网络分层防御的关键。首先用户应当部署网络层防火墙，如果有条件还可以部署IPS，这些设备能防御网络层的各种DDoS攻击；其次是部署基于反向代理的Web应用防火墙（WAF），WAF可以对应用层会话进行终止和主动清除各种针对应用层的DDoS攻击。

　　梭子鱼Web应用防火墙是专注于应用层防护的设备，其针对应用层DDoS攻击防护也有一套完善的解决方案。举例说一下，梭子鱼WAF从以下几方面实现对DDoS攻击的防护：
（1）防御HTTP GET和POST泛洪攻击；
（2）防御HTTP“慢客户端攻击”；
（3）基于客户端完整性检查防御僵尸网络攻击；
（4）使用地理位置IP信息降低DDoS攻击可能性；
（5）使用请求IP地址的信誉过滤僵尸网络流量；
（6）防止Web应用服务器变成僵尸网络的节点。