有數據顯示，近5年來 DDoS攻擊的流量已經從數十Gb飆升到1TB，設想一下，這樣的一個攻擊流量，對于企業用戶來說，無論如何難以抵擋。但是幸運的是，這種被稱為暴力洪水式的DDoS攻擊已經并不多見。原因在于，這種洪水式的攻擊通常會暴露受感染客戶端，導致資源被封，會損失攻擊者所掌控的寶貴資源。所以，有人將這種暴力洪水DDoS攻擊稱為“核武器”，不到萬不得已時候，是不會輕易使用的。

DDoS攻擊形態

如今，攻擊者更傾向于采用更加具有針對性DDoS攻擊手段。目前，主要有兩種方式：狀態耗盡攻擊和應用層攻擊。前者針對前面說過的防火墻等安全設備，因為這些設備有一個共同特征就是存在著“狀態特征”，狀態耗盡式DDoS就針對這些“狀態”實施攻擊，耗盡狀態資源。與暴力洪水相比，狀態耗盡DDos攻擊需要消耗的資源更，同樣可以達到攻擊、勒索的目的。應用層DDos攻擊就是針對應用軟件發動的攻擊。

有數據顯示，如今狀態耗盡、應用層DDoS攻擊逐漸遞增，已經可以占據DDoS 總攻擊流量的50%。對于這種新型的攻擊，無論是運營商，還是傳統安全設備基本上是束手無策。原因在于運營商實施的檢測主要集中在網絡2層、3層；沒有辦法對于4～7層內容實施檢測，提供安全防護；對于傳統安全設備來說，本身就是DDoS的攻擊對象。

階層式DDoS防護策略

針對DDoS攻擊新的特征。目前推薦的應對方法就是階層式DDoS防護策略，在客戶端添加APS（Availability Protection System）設備。據Arbor Networks大中華區總經理金大剛介紹，APS掛接在路由器之后，防火墻之前，是企業級安全防護的第一關口，較之防火墻等安全設備，APS是一種無狀態的設備，可以有效應對狀態耗盡攻擊，同時借助多年的經驗積累，以及400多家ISP運營商的數據合作，可以有效應對包括應用層在內的DDoS攻擊。

APS掛接在路由器之后，防火墻之前

很多時候，企業級用戶會感覺到系統響應緩慢，更多會把原因歸咎于網絡接入穩定性等客觀條件，從而忽視了來自網絡的DDoS攻擊，這些攻擊不僅占用企業寶貴網絡資源，與此同時，也會時刻威脅企業信息系統的安全。

亡羊補牢，是時候關注APS網絡安全設備了！