【IT168 专访】当前 DDOS 攻击层出不穷，它虽然是网络空间中一种最为简单粗暴的攻击方式，但却是让全球大型服务供商谈虎色变的话题。在日前Arbor在京举办的媒体见面会上，Arbor Networks大中华区总经理金大刚为我们揭秘ArborNetworks有独特“金钟罩”本领。

▲Arbor Networks大中华区总经理金大刚

　　DDoS攻击野蛮增长呈现新变化

　　随着互联网、IoT技术的飞速发展，黑客攻击手段的不断变化，DDoS作为分布式攻击也正在呈现规模变大、攻击频率高的趋势。金大刚表示，根据2016年世界经济论坛的调查结果显示，网络犯罪已达4450亿，所以很多黑客就会想办法从里面获得一些利益，网络犯罪呈现M型(两级)化趋势，一种呈大规模大范围的普通攻击，另一种呈具有针对性的强力攻击。

　　传统DDoS是属于用牛蛮之力消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器，犹如天马流星拳一样，而新形态的DDoS攻击更加像狙击手一样，针对目标应用行为、通信协定等各方面进行攻击，其次，攻击速度越来越快防不胜防，当然慢型的比较微量的但却足以拖垮客户服务应用器的攻击行为也在飞速增长，如比特币勒索等。

　　同时，攻击方式也越来越多变，不再只有单一的应用攻击行为，且发生的频率也越来越高，攻击变得越来越复杂，攻击的高度也越来越大。

　　传统DDoS防御难敌新形式攻击

　　基于不同的目的， 如因政治事件、偷窥敏感资料、商业利益冲突，DDoS攻击方式便有不同的型态，及不同的排列组合方式进行。

      金大刚指出，目前DDoS攻击分为三种形态，第一种洪水攻击(塞爆带宽的暴力攻击)，第二种状态耗尽攻击( 针对安全设备耗尽其状态表的攻击)，企业所用的防火墙、IPS、WAF、Anti-DDoS、Load Balancer都是有状态表的设备，都有最大会话数的限制，如果最大会话数被黑客沾满，则合法流量无法进来;第三种是应用攻击(针对用户应用进行的攻击)。

　　市场上防御DDoS攻击也分为三种，第一种是 FW/IPS/WAF/LB安全设备，但本事不是为了DDoS防御所设计， 这些有状态表(Stateful)设备， 容易被黑客利用状态耗尽攻击， 自身难保 !

　　第二种是当地运营商/流量清洗中心，但 运营商欠缺DDoS防御纵深，提供有限的流量清洗能力，当暴力流量攻击发生时，将无法有效清洗，无法主动侦测L7等攻击行为，当大流量攻击来袭时，即使运营商拦截90%流量攻击，剩余10%也能打垮客户承受。

　　第三种是CDN抗DDoS攻击，但欠缺防御广度， 不能阻挡非网页型态的攻击行为，只能是局部性的、片断性的，不能保护所有。

　　针对这一现状，Gartner、 IDC、 Frost & Sullivan、 Ovum 或 Infonetics等国际知名调研机构一致倡导「 Layered DDoS Attack Protection」 概念， 即是阶层式的DDoS防御手段，其中包括了两个元件，要有一个清洗服务，另外还要有一个本地端的保护设备，既防御了针对3-4层的海量攻击，又实现了对7层攻击的二次过滤，达到阻挡 DDoS 攻击的效果。

　　Arbor 独特“金钟罩”防御DDoS攻击

　　Arbor是如何防御DDoS攻击呢?金大刚强调，Arbor 的 Pravail Availability Protection System(以下简称 APS )设备是全世界少有的无状态表架构，对于洪水攻击，没有最大会话数的限制，只检查DDoS,不需要记录及联线会话等，因而可以防御layer7最大会话数攻击。

　　其次，Arbor有丰富的指纹知识库，在DDoS领域收集来的指纹知识库远比其他人要多非常多，从根上就有优势，也可以认为是Arbor的DNA.

　　最后Arbor的设备具备对战学习模式的能力，可以根据黑客的行为进行判别，降低误判概率，具备全方位阻断手法。

　　最后，十六年磨一剑，Arbor设备已覆盖全球95%的一级运营商，与全世界400家最重要的运营商都有合作协议，运营商会及时把他们的样本流量直接透过Arbor收集器直接进到Arbor的数据中心，Arbor可以看到全世界40%的流量，这是其他所有安全的厂家所做不到的。

         除此之外，Arbor还跟全世界高达100个国家的ASERT交换情报，与Google合作推出一个全世界数位攻击地图，在Google上输入Digital Attack Map,可直接看到全球正在发生的DDoS状态。

　　“不可否认，多数用户都倾向采用便宜产品，金大刚表示，采用头痛医头、脚痛医脚原则不能真正解决问题，应该采用阶层式的DDoS防御手段，相信预防胜于治疗。