防护组织网络免受DDoS攻击长久以来是一项巨大的挑战，如今网络犯罪正变得更加猖狂，舆论新闻也都充斥着关于DDoS攻击、数据泄露或其他安全问题。然而，即使在如今日益猖狂的DDoS威胁下，许多组织还相信其几年前引入的DDoS防护设备现在依然有效。在这些例子中，这些组织在用其自身的网络做赌注。到了应该揭露一些对于DDoS误解的时候了。

5个关于DDoS防护的常见误解

　　误解1：防火墙、IPS 或内容分发网络能解决问题

IT基础架构的演变以及对于第三方云的依赖早就形成一个复杂的环境，周界不复存在。诸如防火墙和IDS/IPS的传统“周界”安全解决方案仍然是集成安全态势的关键部分。然而，因为这些设备会进行网络连接的状态检测，此过程容易遭受 DDoS攻击，反而使情况恶化。

许多组织还错误地相信内容分发网络(CDN)能为阻止DDoS攻击提供解决方案。事实上，一个CDN仅可解决一个DDoS攻击症状。通过吸收如此大量的数据，一个CDN实际上能将所有信息引入网络之中。此外，大部分以CDN为基础的DDoS防护解决方案仅专注于吸收HTTP/HTTPS DDoS攻击，而忽略了所有其他诸如NTP/DNS的放大攻击，此类攻击极为常见。

　　误解2：单层 DDoS 防护足以应对攻击

由于现在的DDoS攻击正从使用容量、TCP 状态枯竭和应用层攻击向量的方向集合，业界推荐各组织使用的最佳方法是分层防护方法。

在多如潮水般的攻击压垮本地网络连接或内部部署的DDoS防护系统之前，阻止这些攻击的最佳位置是在安全提供商云的上游。并且，阻止秘密应用层攻击的最佳位置是用户端，因其靠近关键应用或服务的位置。同样重要的是，您必须拥有由最新威胁智能感知支持的这两个层面的智能形式交互，以阻止动态DDoS攻击。

不幸的是，许多组织仅选择一层防护，造成其DDoS防护解决方案不完整。

　　误解3：我们有可能不会成为目标，所以值得冒险

那么，DDoS攻击数量飞速增长主要因素有两个：发起攻击很容易，并且攻击动机多样。历史上从未像现在这样如此容易地发起DDoS攻击。任何人都可以仅通过免费或向第三方付少量费用的情况下，下载自助DDoS攻击工具，从而非常轻易地发起DDoS攻击。而发起攻击的成本仅为数十美元，但组织的损失可能达到数千万美元。DDoS攻击背后的动机多种多样，包括不再为获得经济利益或由国家赞助的组织发起的DDoS攻击。

如今，可能仅仅因为意见不合或基于某议题的政治立场或态度不同而使用多种工具或服务来发起DDoS攻击。更糟糕的是，如果您的服务基于共享云环境，即便您不是DDoS攻击的目标，也可能遭受相关损害。所以您应扪心自问：“我真的那么幸运吗？”

　　误解4：DDoS攻击的影响不值得防护系统的增加成本

DDoS攻击的影响会显而易见并且十分严重。事实上，许多组织并未进行有效的风险及应对措施分析，从而无法为其购买DDoS防护解决方案提供可靠依据。当然，算出盈利服务停机成本可能很简单；但您是否全面考虑过其他DDoS攻击的相关成本？

许多间接成本常常被人们忽略，比如SLA信贷、法律/管理费用、品牌形象维护的公关成本、客户流失等等。甚至在一些记录在册的案例中，有高管或董事会成员因为对阻止DDoS攻击及其他威胁未作充足准备而被解雇。

　　误解5：DDoS攻击并非高端威胁

确实，就技术而言，DDoS攻击本身可能并不高端。然而，最近对僵尸网络和DDoS攻击的研究结果表明，它们实际上与使用恶意软件、RAT的高级威胁行动关系密切。

例如，有记录在册的案例显示，DDoS攻击会出现在下述情况：

·在早期侦查阶段用以测试某组织回应某种威胁的能力；

·在恶意软件传输阶段，用以填写安全法医产品日志和数据文件；用以让已植入的恶意软件更加难以被搜索到；

·数据提取阶段用以作为转移注意力的策略工具。

所以这就引发了一个问题：“最近这次DDoS攻击是孤立事件，还是只针对本组织的未来高级威胁行动的一部分？”为了保险起见，强烈推荐您使用全球威胁智能感应系统，在威胁降临之前就可积极“搜寻”危害或违规迹象。

　　智能、多层次DDoS保护方法应运而生

使用诸如防火墙或IPS的传统安全解决方案存在巨大风险。您能够承受您的关键应用程序无法使用的风险压力吗？您能够承受某项入侵事件造成的数百万客户机密信息曝光的成本吗？实际上，您非常需要使用一种集成的、多层次的DDoS防御解决方案来时刻保护您的组织。

(责任编辑：安博涛)