基礎設施正在遭受攻擊

是什么讓DDoS攻擊不同于日常的數據泄露？答案是拒絕服務。DDoS攻擊的目的是阻止人們所依賴的在線服務交付。第13次年度全球基礎設施安全報告（WISR）（NETSCOUT Arbor對來自服務提供商和企業領域的安全專家進行的年度調查）發現，去年以基礎設施為目標的DDoS攻擊大幅增加。

是什么讓DDoS攻擊不同于日常的數據泄露？答案是拒絕服務。DDoS攻擊的目的是阻止人們所依賴的在線服務交付。金融機構、游戲和電子商務網站是最容易受到DDoS攻擊的目標，為企業客戶托管網站或服務應用的云服務提供商同樣在列。即使服務交付出現短暫中斷也會對企業造成數百萬的業務損失，還不包括客戶流失和聲譽受損等后果。

由于DDoS攻擊和數據泄露在本質上迥然不同，邊界防火墻、入侵檢測/防護系統（IDI/IPS）等常規的安全基礎設施組件在緩解DDoS攻擊方面的效果相對較差。在分層防護策略中，這些安全產品必定占有一席之地，能夠為保護數據提供很好的服務。但它們無法應對DDoS攻擊中的根本問題，即網絡可用性。

實際上，這些組件本身因失去防御能力而越來越成為DDoS攻擊的目標。第13次年度全球基礎設施安全報告（WISR）（NETSCOUT Arbor對 來自服務提供商和企業領域的安全專家進行的年度調查）發現，去年以基礎設施為目標的DDoS攻擊大幅增加。在受訪企業中，61%的網絡基礎設施遭到了攻擊，52%的防火墻或IPS設備在DDoS攻擊期間失去防御功能或導致設備停機。在服務提供商中，對基礎設施的攻擊沒有如此普遍，其客戶依然是DDoS攻擊的主要目標，但在服務提供商遭受的攻擊中，10%是以網絡基礎設施為目標，另有15%是以服務基礎設施為目標。

同時，數據中心運營商表示，36%的入站攻擊以路由器、防火墻、負載平衡器和其他數據中心基礎設施為目標。大約48%的數據中心受訪者表示DDoS攻擊期間，防火墻、IDS/IPS設備和負載平衡器失效導致了設備停機，較2016年的43%有所增加。

基礎設施組件特別容易受到TCP狀態耗盡攻擊，這類攻擊旨在消耗負載平衡器、防火墻、IPS和應用服務器用于識別合法數據包流量的連接狀態表（對話記錄），甚至還會導致能夠維持數百萬連接狀態的大容量設備停機。在最新的WISR中，TCP狀態攻擊幾乎占到所有已知攻擊的 12%。

盡管存在漏洞，但防火墻、IPS和負載平衡器依然是組織用于抵御DDoS攻擊的首要安全措施。在服務提供商中，防火墻在最常見的DDoS緩解選項中排名第二，而在企業中，防火墻是82%受訪者的第一選擇。讓人失望的是，一些最流行的DDoS緩解措施也是最無效的措施，因為狀態型攻擊可以輕松突破它們的防御。

但積極的一面是，我們2016年的調查中報告了越來越頻繁的DDoS攻擊，2017年，這促使智能DDoS緩解系統（IDMS）的采用變得更加廣泛。大約一半的受訪者表示，IDMS目前已成為邊界保護的一部分，較前一年的29%顯著增加。

任何通過網絡交付服務的組織都需要專門打造強大的DDoS防護系統，安全專家持續推薦結合本地防護和云端緩解功能的混合解決方案，并將其作為最佳做法。尤其是對于以網絡基礎設施為目標的攻擊，應在基礎設施組件之前部署專用的DDoS本地設備，以保護基礎設施組件免受攻擊，使其能夠暢通無阻地執行任務。