C114訊 10月11日消息（張海龍）目前，DDoS攻擊正成為網(wǎng)絡(luò)攻擊中最為常見(jiàn)的攻擊類型，而隨著攻擊型態(tài)演變，DDoS正呈現(xiàn)出攻擊量不斷攀升、攻擊復(fù)雜度愈來(lái)愈高、攻擊頻率增加三大趨勢(shì)。

這讓傳統(tǒng)保護(hù)已經(jīng)無(wú)法有效偵測(cè)阻擋DDoS，作為全球DDoS防御領(lǐng)軍企業(yè)，Arbor Networks認(rèn)為，階層式DDoS防御才是有效并全方位的解決方案。

Arbor Networks大中華區(qū)總經(jīng)理金大剛認(rèn)為，階層式DDoS防御具備六大特征：

第一，駐地端防護(hù)設(shè)備必須 24 小時(shí)全天候主動(dòng)偵測(cè)各類型DDoS攻擊，包括流量攻擊、狀態(tài)耗盡攻擊與應(yīng)用層攻擊；

第二，駐地端防護(hù)設(shè)備只要偵測(cè)到攻擊流量，皆可立即阻檔；

第三，必須自動(dòng)擋下探子馬，藉此推遲黑客刺探軍情的頻率，以絕后患；

第四，為了避免出現(xiàn)如同防火墻等設(shè)備附加功能的弱點(diǎn)，因此用戶務(wù)必慎選無(wú)狀態(tài)表架構(gòu)的防護(hù)設(shè)備，以免黑客而耗盡連接數(shù)量上限而攻擊得逞；

第五，用戶宜跳脫設(shè)備規(guī)格的軍事競(jìng)賽思維，不需過(guò)度計(jì)較其吞吐流量多大、操作界面多強(qiáng)，而應(yīng)關(guān)注其是否深具智慧，智慧的高低，取決于設(shè)備原廠是否有能力搜集大量資料，藉由云端大數(shù)據(jù)分析萃取攻擊樣本，繼而以最快速度產(chǎn)生攻擊特征碼，終至回饋到前端設(shè)備；

第六，需本地與云端聯(lián)動(dòng)，從而進(jìn)行高效的DDoS防御。

事實(shí)上，這也是各大分析機(jī)構(gòu)的共識(shí)，Gartner、IDC、Frost & Sullivan、 Ovum 、 Infonetics不約而同倡議“Layered DDoS Attack Protection”概念，即由多層次防御手段，達(dá)到阻擋DDoS攻擊的效果。

不過(guò)，金大剛認(rèn)為，目前市場(chǎng)上眾多的DDoS防御解決方案并不能真正解決DDoS攻擊。例如，CDN對(duì)于靜態(tài)網(wǎng)頁(yè)極具保護(hù)功效，但對(duì)于需要與后臺(tái)實(shí)時(shí)聯(lián)機(jī)撮合的動(dòng)態(tài)網(wǎng)頁(yè)，則相對(duì)不適用，在與后臺(tái)主機(jī)的聯(lián)機(jī)信道中，會(huì)充斥大量對(duì)話，其中可能存在惡意流量。

至于區(qū)域性電信運(yùn)營(yíng)商，由于無(wú)法主動(dòng)偵測(cè)應(yīng)用層攻擊、或狀態(tài)耗損攻擊，再加上即使勉可過(guò)濾攻擊流量，但因容量有限，只要容量用盡便無(wú)法執(zhí)行清洗，或?qū)��?dǎo)致后續(xù)正常封包，也將被丟棄。

而國(guó)際流量清洗中心利用海外機(jī)房執(zhí)行清洗任務(wù)，迫使用戶必須繞一大段路才能接受過(guò)濾服務(wù)，難免造成延遲，大大降低服務(wù)質(zhì)量。此外，防火墻或IPS等設(shè)備商則有著最大連接數(shù)的限制。

對(duì)此，Arbor Networks推出了階層式DDoS防御解決方案，通過(guò)APS（Pravail Availability Protection System）對(duì)流量進(jìn)行檢測(cè)清洗，當(dāng)APS遭遇難以排除的攻擊流量，便通過(guò)云端清洗中心展開(kāi)流量過(guò)濾，從而保障網(wǎng)絡(luò)能夠及時(shí)有效抵御DDoS攻擊。

尤其值得一提的是，Arbor Networks擁有全球95%主流電信運(yùn)營(yíng)商客戶，通過(guò)和全世界300多家電信運(yùn)營(yíng)商的合作關(guān)系，Arbor的研究中心可以實(shí)時(shí)接收這些電信運(yùn)營(yíng)商提供的樣本流量信息。因此Arbor掌握了全球逾四成因特網(wǎng)實(shí)時(shí)流量信息，可比競(jìng)爭(zhēng)對(duì)手更快察覺(jué)新型攻擊樣態(tài)，從而實(shí)時(shí)建立指紋知識(shí)庫(kù)，協(xié)助用戶得以及時(shí)偵測(cè)并防御惡意攻擊。