在網(wǎng)絡安全界，DDoS攻擊已經(jīng)不是一個新鮮的名詞。最早的DDoS攻擊可以追溯到1996年，在中國DDoS攻擊于2002年開始頻繁出現(xiàn)，2003年已經(jīng)初具規(guī)模。然而近幾年，這個老生常談的網(wǎng)絡攻擊方式卻以新的攻擊方式，給帶來巨大的網(wǎng)絡安全威脅。

　　“事實上DDoS攻擊并不是一個陌生的話題，但卻是一個絕對不容忽視的安全問題。” 梭子魚技術總監(jiān)賈玉彬如是說道，“簡單概述，目前DDoS攻擊新趨勢是：從TCP/IP層上移到了應用層。”

　　根據(jù) Gartner預測，DDOS攻擊會占2013年所有的應用層攻擊中的25%左右。基于應用層的DDOS攻擊每年以三倍的速度增長。在過去，DDOS攻擊使用大量偽造的UDP, TCP SYN, 或者ICMP流量來意圖淹沒目標網(wǎng)絡。然而，當今的攻擊平臺已經(jīng)進化到包含應用層的DDOS攻擊，目標是Web系統(tǒng)和DNS系統(tǒng)。

　　賈玉彬表示：“隨著攻擊手段和攻擊目標的變化，將使得任何一個互聯(lián)網(wǎng)上的應用都可能會成為攻擊目標，70%以上的為隨機受害者。”在他看來，目前DDoS攻擊的手段和方式主要有三種：

　　1、大流量型攻擊，主要憑借大量的僵尸網(wǎng)絡和應用層DDoS攻擊受害者的Web應用，例如大流量訪問需要消耗大量系統(tǒng)資源的url，從而導致Web應用崩潰;

　　2、匿名者組織，這個組織通過社交網(wǎng)絡組織大量人力并提供LOIC和JS LOIC兩種工具，這些來自社交網(wǎng)絡的人員都是真真正正的人而不是僵尸主機，所以這種攻擊更難于防范;

　　3、慢客戶端攻擊，這種利用了HTTP協(xié)議本身的缺陷，只需要非常少量的資源即可快速使目標受害者的站點陷入癱瘓，典型的工具如 Slowloris，目前這種攻擊目前非常流行，從協(xié)議的合規(guī)性分析，這種攻擊流量是正常的流量，所以依靠特征庫和黑名單技術的防護設備檢測不出這種攻擊。

　　面對呈現(xiàn)新形式的DDoS攻擊，賈玉彬指出中國在抵御DDoS攻擊方面所做的工作仍有很大的提升空間;“目前，大部分的企事業(yè)單位還停留在防御對網(wǎng)絡層的DDoS的攻擊防護或者是對大流量攻擊的防護，這顯然是不夠的。”

　　對此，賈玉彬也為在如何防御DDoS攻擊方面提出了建議。他指出，防御DDoS攻擊需要重點做好兩個方面防御措施：

　　1、部署邊界網(wǎng)絡防火墻和IPS，過濾網(wǎng)絡層的DDoS攻擊;

　　2、部署Web應用防火墻(WAF)，防御對應用層的DDoS攻擊進行防護，前提是部署的WAF需要支持對僵尸(主機)網(wǎng)絡攻擊的識別和防護、慢客戶端攻擊的防護、匿名者攻擊的防護。

　　不管怎樣，當DDoS這種看似陳舊過時的攻擊以新的攻擊方式卷土重來的時候，如果不進行有效主動防御，那么本身就將有可能成為網(wǎng)絡安全問題的一部分。對而言，這是一個絕對不容忽視的安全問題。