怎么应对DDoS攻击的规模和频率大幅增加

年分布式拒绝服务(DDoS)攻击的规模、频率和如何时间都在提升。

卡巴斯基实验室报告，年第一季度DDoS 攻击比年第四季度翻了沉思一番，与去年同期而言会增长了80%。卡巴斯基还发现自己，DDoS网络攻击的重要时间一直在增加。年第一季度，换算下来攻击持续时间与去年同期相比较提高了24%。恰在此时，与去年同期相比，第一季度的大的攻击持续时间增加了一倍多。

最近对一家规模很大欧洲银行的DDoS 攻击以8.09亿数据包/秒的速度运行，比Akamai平台上以前的记录的两倍多。Akamai上月准备报告了对一家互联网服务提供商的1.44TB/秒攻击。攻击无论是9个相同的向量，持续了一个多小时，保持了1.3兆比特/秒的强度。今年2月，AmazonWeb服务(AWS)的DDoS 攻击记录为2.3TB/秒。这比AWS检测检测到的一丁点DDoS都大43。

一、DDoS 攻击的类型

Akamai请解释说，比特/秒(BPS)和数据包/秒(PPS)攻击更具完全不同的目标受害者的方法。按照BPS攻击，目标是使入站互联网通道被压垮。它轰炸的流量远远超过它能去处理的规模。是从PPS攻击，目标是在受害者的数据中心或云环境中耗干网络装备和应用，耗空资源。在根据不同情况相同方法的同时，这两种类型的DDoS 攻击都可对受害者产生破坏性影响。

Akamai第一高手产品架构师TomEmmons意思是："从年启动年来的DDoS活动整体上看，很明显，大型、紧张的DDoS 攻击依然是如何的攻击媒介。大多数DDoS 攻击都比较复杂SYN洪水，这是协议攻击。这是四种DDoS类型之一，以及体积和应用程序攻击。

二、DDoS 攻击者利用新冠疫情

许多DDoS 攻击也是按照针对医疗保健组织、教育平台和政府机构来利用新冠疫情大流行。

的或，年第一季度，DDoS对教育和行政Web资源的攻击数量与去年同期相比提升了两倍。卡巴斯基分析预测，随着向辅助攻击工作的转变成为"新常态"，VPN网关等企业基础设施将送来更多的DDoS 攻击。

Imperva最近才发现应用程序DDoS 攻击的持续时间更长。6月的两次攻击持续了5到6天，无论是超过十万28000个仅有IP 地址。目标最应明确的行业是媒体、商业和金融服务。

只会害DDoS 攻击的一个开发是僵尸网络租赁服务。依据趋势科技的研究，那些服务的提供商正准备为压制家庭路由器在僵尸网络中不使用而斗争。然后，网络犯罪分子收购对DDoS 攻击的这个僵尸网络的访问，或匿名化再点击欺诈、数据盗窃企业和帐户入主。

趋势科技全球威胁通信主管乔恩•克莱(Jon Clay)解释道："网络罪犯明白了，绝大多数家庭路由器都非常缺乏默认凭据，并且大规模地太低了攻击力度“这对家庭用户可以说，这会杀害他们的带宽并会减慢他们的网络速度。是对成为四次攻击目标的企业，那些僵尸网络是可以全部完全摧毁一个网站，而就我们过去在如此高调攻击中所看见了的那样的，"Clay说。

三、如何防止攻击？

数据是知道的。从所有的方面可以衡量，DDoS 攻击正在增强。DDoS 攻击与DoS拒绝服务攻击有什么区别?不良企图流量无论是世界各地的分布式来源，的或由数百万台设备(而不是单个来源)的僵尸网络。这个类型的攻击使常规防火墙和入侵检测系统在阻拦这些攻击方面甚至毫无用途。

组织这个可以做几件事情来防止攻击并缓解其影响。卡内基梅隆大学软件工程研究所的研究员RachelKartch建议企业可以实行四个改进DDoS攻击的最佳实践。

•使架构尽可能具有弹性。企业应聚集起来资产，以尽量减少向攻击者展示有吸引力的目标。他们应该要将服务器定位在有所不同的数据中心，以保证数据中心位处差别的网络上，本身完全不同的路径，并以保证数据中心和网络没有瓶颈或单点故障。

•部署可以处理 DDoS 攻击的硬件。企业应建议使用旨在推广保护网络资源的网络和安全硬件中的设置。许多下一代网络防火墙、Web应用程序防火墙和负载均衡器这个可以能够抵挡协议和应用程序攻击。还是可以部署专用DDoS只能缓解设备。

•扩大网络带宽。如果不是内部都能够负担得起，他们应该要扩大带宽以吸收掉体量攻击。对于也没财力投入更大带宽的相对大组织来讲，此步骤肯定很很难。

•雇用 DDoS 缓解提供程序。企业可以高分悬赏于一类做出反应DDoS 攻击的规模很大可以提供商，这个提供给商建议使用云清理服务进行攻击流量，在流量直接击中组织网络之后将流量转移到缓解中心。.例如禁用香港高防服务器、美国高防服务器、高防IP等DDoS专业侦测和清洗服务。

ESecurityPlanet的安全撰稿人PaulRubens我建议你企业是从将DNS服务器放在负载均衡器后面的众多数据中心或迁移到基于云的DNS提供给商来破坏它们。

据银行信息安全咨询的安全专家，企业应可以使用基于云的Web 服务器来如何处理DDoS 攻击的高流量，进行设计模拟真实DDoS 攻击的练习，在DDoS 攻击发生以前具体实施掉线可缓解和响应策略，并培训员工利用识别和响应DDoS 攻击。

IANS研究主管、Akamai前低级项目经理BillBrenner可以表示："只不过技术只能缓解是必要的，但教育企业内部的用户安全是一种心态，而又不是唯独，也可以不会减少是非事件。