近期，分布式拒绝服务(DDoS)攻击流量再创新高。相关报道显示，某欧洲组织遭遇2.4 Tbps DDoS攻击，远高于2020年6月Akamai平台探测到的1.44 Tbps、每秒8.09亿个数据包(Mpps)整体规模。

NETSCOUT《威胁情报报告》显示，2021年上半年，网络犯罪分子发动了约540万次分布式拒绝服务(DDoS)攻击，较2020年上半年增长11%，预计全年DDoS攻击将超过1100万次。

面对规模空前、攻击手段多样化的DDoS威胁，在未来的“网络攻防战”来临之前，采取行动的同时也要拥有正确的防御认知。然而，或因新闻误读、或因广告过度宣传，许多DDoS防御的“流行说法”，往往在片面表述、误导用户。

伴随着攻击规模的逐年上升，安全专业人员在设计DDoS防御解决方案时，会着重考虑防御服务总容量。事实上，DDoS防御的实际能力，并不完全体现在总容量之中。这就需要我们弄清楚几个问题：

·有多少网络容量专门耗用在攻击流量方面？

·有多少缓解系统资源专用于阻止攻击？

·有多少网络和系统资源可用于向该平台上的所有客户群传送安全流量？

换句话说，DDoS攻击流量和正常客户流量，需要区别对待。总容量，可不代表可用缓解资源，体现DDoS真实防御能力，在于能有效发挥安全作用或优化缓解措施的对应容量。

Akamai提醒您，要深入了解安全供应商描述的网络总容量与可用于缓解攻击的容量，并关注平台稳定性、安全流量交付利用率这一类关键指标，从而有效部署DDoS防御措施。

一旦DDoS攻击发生，在防御整体周期中，用户当然期待耗时越短越好。由此，宣传广告在对“缓解时间”上的解读，往往模糊处理、并非从监测到DDoS攻击到实际停止的整体时长。从本质上看，缓解时间，意味着在不会影响正常流量和网络性能的情况下，DDoS防御阻截恶意流量的响应速度。

而单从时间上看，缓解时间的解读空间并不准确。例如，某些供应商可能会等到流量持续激增5分钟以上，才将其判定为DDoS攻击。由此，SLA计时器启动时，DDoS攻击已经过去了5分钟。相比之下，广告中所说的10秒缓解时间，“刻意”忽略了此前这5分钟。此外，还有一些供应商，则将缓解时间局限为部署缓解措施，同样会远低于整体用时。

Akamai提醒您，整体缓解时间应当定义为网络恢复总体时长，这才是关乎终端用户体验的真实时长。为便于您研究SLA中所列缓解措施的时间细节，可参照下方公式：

吸入黑洞、限制流量，是部分网络安全供应商常用的防御措施，但在响应过程中，将会以牺牲网络性能的代价来阻截DDoS攻击。

先说吸入黑洞，其具体机制只是将该资源流量丢到虚拟黑洞中，进而实现止损；但是，吸入黑洞，将会致使目标资产离线，正中攻击者下怀。

由于安全供应商基础架构各有不同，响应离线、性能受损的后果也可能会波及其它用户。而采取限制流量，同样会带来负面效果。终端用户的正常数据资产或服务即便仍在运行，却明显减少20%-40%的合法流量。这对受攻击一方来说，很难保证用户体验，并非优选、有效的解决方案。

Akamai提醒您，面对以上两种DDoS防御措施。您需要向供应商询问在常规情况或在受到攻击时，吸入黑洞或限制流量的发生频次以及应用场景；同时，您需要询问网路服务恢复正常的必要条件。

在进行企业网络安全部署时，有一点很容易被忽略——灰色产业与非法企业，可能在与您共享同一个合法的云供应商。赌博和色情网站等灰色产业、诸如恐怖袭击的这一类非法组织，受到DDoS攻击的频次远大于合法产业。

与这两种“网上邻居”共享同一云安全平台的DDoS防御服务，很可能发生“连带”效应、遭遇间接损失。因为供应商的资源可能已被几近耗尽，难堪其重，致使您的企业面临风险。

Akamai提醒您，在选择云安全供应商时，需要仔细研读他们的服务客户范围，选择抵御DDoS时的可靠“盟友”，规避共享云安全平台资源时的潜在风险。

当前，部署DDoS防御等安全措施时，部分供应商通过单一云平台来提供多种服务。这种一站式安全平台，短期而言，确实存在一定优势，即简化部署和集成安全管控措施的技术难度。

但长远来看，一站式安全平台也存在着显著劣势。由于平台共享同一后端基础架构和网络的多种服务，一旦环境中的其他部分遭遇中断，接踵而至的间接损害、恢复能力降低等问题，也会严重破坏安全体验。要知道，单一平台的设计上本就存在局限，一站式安全平台在初始构建阶段，在部分功能的开发上，会有折中处理而非优选设计。

相比之下，CDN、DNS和DDoS净化云方案的专项构建则采用透明网络，在应对安全挑战时，能提供更稳定、高效的缓解措施，并大规模改善整体网络性能、优化防御态势。

Akamai提醒您，一站式安全平台并不意味着更好的安全体验。进行网络安全部署时，不需要通过共享同一基础架构来实现一致的安全体验。事实上，不同的底层架构，在提供无缝、流畅用户体验的同时，也能带来高水准的缓解措施。

随着攻击媒介的复杂多样、攻击力度的连年攀升，面对当下的DDoS攻击，本地解决方案提供的管控措施相对有限。即便是4 Gbps以下的典型攻击也会致使互联网链路饱和，本地数据中心配备上乘内部硬件，依然有可能发生拒绝服务的情况。

归根结底，限制本地解决方案管控能力，恰恰是互联网链路规模。再加上稀缺的安全人才，往往要投入巨大的时间精力成本进行IT维护，往往不堪重负、影响效率。由此，企业组织都选择将DDoS缓解措施外包给基于云平台的安全供应商，而不是开发内部DDoS防御技术。

Akamai提醒您，DDoS是一种应由防御专家来处理的攻击类型。面临超高流量的冲击，本地解决方案存在固有风险。与其让互联网链路、安全运维人员疲于应对、造成局面失控，不如把专业的事交给专业的人，外包给专家处理，专注于业务本身。

在DDoS攻击中涉及的OSI模型中，共有物理层、数据链路层、网络层、传输层、会话层、表示层、应用层7个网络连接层。针对这一结构，攻击者会根据他们想要破坏的网络或面向互联网的资产类型，针对不同的分层发起攻击。由此来看，使用同一种底层技术构建多层防御措施，将会让所有防御层存在相同的漏洞和弱点，致使企业面临同一类风险。

应对多方位的DDoS攻击，克服多样化的破坏手段，需要采用多层防御措施，来减轻不同层次的攻击。这重防御意识，正是企业组织自建防御策略的基础。诸如，采用混合防御法。对于本地部署安全解决方案的企业来说，如果不采取多层防御，而是添加来自同一供应商的云解决方案，未必能获取深度防御。

Akamai提醒您，基于DDoS攻击原理，需要对同类优选技术进行分层，采取多层防御措施。由此，即便某一层存在的缺陷，也能被另一层防御所弥补，实现更为立体、深度的安全防御。

应对DDoS攻击，众多安全供应商几乎都在强调自身的安全运营中心(SOC)服务。这是因为SOC可以作为企业安全团队的有效扩充，及时、准确地提供防御技术、安全策略的支持。相比“全天候”这一点，在评估DDoS防御供应商SOC的效能时，以下因素则更值得考量

·遭遇攻击的前、中、后，您能得到哪类支持和分析服务？

·SOC如何配备人员，确保DDoS防御的连续性？

·联系SOC时，与您沟通的是能进行缓解操作的安全专家，还是仅转交问题的对接人？

·提供商是否有接受防御培训的安全专业人员，还是只有缓解流量压力的操作人员？

·对方是否提供定制化行动手册？

Akamai提醒您，当您对安全供应商SOC服务品质进行评估时，在明确其攻击检测和缓解措施之外，需要确认对方是否还提供集成测试、事件故障排除、事后分析报告和设计支持。总体来说，服务环节越完备、服务水准越专业，便能高效地缩小DDoS攻击面。

市面上的DDoS防御服务，往往存在着“低价陷阱”。具体来说，部分供应商的安全防御措施，对应有的攻击防御数量或规模都会有所限制，然后利用低报价抢占市场；而且这种“短视”行为，还将会埋下隐性成本。

在服务中后期，一旦您遭遇超出限制数量、规模的DDoS攻击，供应商便会要求您升级到更高且更贵的服务层，不然就不能进行安全防护。此时，低价诱惑便露出了真实目的，作为遭受DDoS攻击方，此时往往一心只想恢复业务，任由对方安排。

Akamai提醒您，在对比供应商和报价时，面对明显低于市场价位的报价，您需要提起警惕，务必考虑是否存在隐性成本以及报价中真正能获取到的具体服务，进而寻求性价比更高的DDoS防御服务。

通过以上9个问题的梳理，您会发现DDoS安全问题既复杂多变，又费时费力。如果不能及时有效地进行DDoS防御，不仅会损失终端用户的信任，而且还有可能承担更为沉重的费用成本。