最近《紐約時報》報道了反垃圾郵件組織Spamhaus如何深受史上最大型DDoS攻擊之害。很少有人會忘記那次針對全球金融機(jī)構(gòu)JP Morgan Chase，Wells Fargo，美國銀行和美國運通等的定向攻擊，這次攻擊讓這些公司的業(yè)務(wù)癱瘓了數(shù)小時，造成的損失達(dá)數(shù)百萬美金。

這還沒算上其他數(shù)以千計沒登上新聞頭版的DDoS攻擊。簡而言之，沒有人可以置身事外。借助新式的復(fù)雜的攻擊工具，DDoS威脅變得比以往更為強(qiáng)大。

除了變強(qiáng)和衍生更快以外，DDoS現(xiàn)在也變得越來越智能。許多當(dāng)代應(yīng)用層攻擊都不是想發(fā)起大規(guī)模的攻擊，而是想從根本的應(yīng)用邏輯層處進(jìn)行秘密定向攻擊。和舊的DDoS攻擊不同，許多新的DDoS攻擊都側(cè)重某些特定威脅向量和目標(biāo)。一旦破壞成功，威脅就會繞開安全基礎(chǔ)架構(gòu)。

從某種程度而言，每個組織都將被迫投資某種形式的DDoS防護(hù)或是可能破壞其系統(tǒng)，中斷其業(yè)務(wù)的威脅。而當(dāng)一個組織向市場尋求專業(yè)的DDoS安全方案時該作何選擇呢?

首先，是可視性。你無法為看不到的東西提供保護(hù)。在采取任何措施之前，用戶需要一個整體方案，此方案要讓用戶看清所處的IT環(huán)境，還要授予IT管理人員完整的控制權(quán)。

合適的方案不僅要可以識別攻擊，還要能夠鎖定攻擊，并分析DDoS惡意軟件。為了達(dá)到這個目的，方案就得包含一種指示威脅自然屬性和嚴(yán)重程度的通知和警告機(jī)制，并為IT管理人員提供緩解措施。

一旦檢測到威脅，安全管理人員要對其進(jìn)行攔截并進(jìn)行根除。合適的方案還應(yīng)該包含消除威脅的技術(shù)，以解決APT，蠕蟲，DDoS，僵尸網(wǎng)絡(luò)以及內(nèi)向或外向型攻擊。

一份全面的DDoS方案還應(yīng)該包含報告工具和日志及關(guān)聯(lián)機(jī)制。這些信息可以讓IT管理人員對威脅的全貌以及組織的安全態(tài)勢有更清晰的了解，這樣才能分析復(fù)雜的惡意軟件。而且，由于缺乏嚴(yán)格的服從條款，所以就更需要報告功能滿足審計員的需求，并避免因違規(guī)導(dǎo)致的罰款。

強(qiáng)大的攻擊需要更強(qiáng)大的防御方案。用戶需要一個具備足夠帶寬的DDoS安全方案，防止攻擊者控制網(wǎng)絡(luò)。這樣的方案還應(yīng)該結(jié)合帶寬管理特性，使方案供應(yīng)商和IT管理人員可以貫徹政策，并根據(jù)用戶，集團(tuán)，時間和其他標(biāo)準(zhǔn)調(diào)節(jié)預(yù)定義的帶寬。

幾乎每個企業(yè)都面臨著云，虛擬化和內(nèi)部部署基礎(chǔ)設(shè)施的復(fù)雜性。為了解決復(fù)雜的多平臺環(huán)境，如果一個DDoS方案不具備隔離和虛擬化網(wǎng)絡(luò)流量的能力，就不能稱之為完整。因為隔離網(wǎng)絡(luò)流量并將之虛擬化的性能可以讓安管人員對多租戶環(huán)境的不同部分使用不同的策略。

組合成多層級方法的各種工具可以緊緊咬住隱秘的DDoS攻擊。雖然在復(fù)雜的新式DDoS惡意軟件面前，沒有哪種方案是百分百安全，但是其保護(hù)作用的防護(hù)層會降低用戶受損的幾率。

原文地址：http://security.networksasia.net/content/multi-layered-approach-combating-ddos-attacks