1、白 皮 书11 个根深蒂固的 DDoS 误区|2近年来，分布式拒绝服务(DDoS)攻击的程度、规模、分布和复杂性显著增加，从一些破纪录的攻击中便可一见端倪。遗憾的是，很多企业在如何自我防御方面仍然抱有一些过时的想法，认为他们的防御措施已经足够，或者更糟糕的是认为他们不太可能成为攻击目标。而真相是：这些攻击的受害者遍布从金融服务、电子商务到游戏的所有主要行业。实际上，对医疗保健、能源和公共事业、教育以及交通等关键公共基础设施的攻击尤其令人担忧。2023 年，Akamai 保护了亚太地区的一家客户，使其成功抵御了一次每秒 900 千兆位(Gbps)的大规模攻击。同年晚些时候，Akamai 阻止了一

2、次 634 Gbps、每秒 5500 万个数据包(Mpps)的攻击，该攻击采用复杂的攻击媒介组合，是有史以来针对美国金融服务客户 的最大规模攻击之一。这是 Akamai 迄今为止抵御的一次最大规模 DDoS 攻击：1.44 Tbps、385 Mpps 的全球分布式攻击，持续了将近两个小时。这些事件清楚地表明，网络犯罪分子继续以关键经济支柱为攻击目标。虽然这些攻击的规模可能会让一些小型企业认为他们成为 DDoS 攻击目标的风险较低，但事实是，各行各业中的关键业务服务和应用程序都很容易成为目标。由于政治和意识形态动机的黑客崛起，以及 Killnet 和 Anonymous Sudan 等网络犯罪分

3、子团伙提供的 DDoS 服务成本相对较低，这使得几乎每个人都可能成为目标。众多企业需要担心的也不仅仅是最初的攻击。DDoS 攻击正越来越多地被用作烟幕弹来分散网络和安全资源的注意力，而攻击者会尝试同时发起勒索软件 DDoS 攻击(RDDoS)或三重勒索活动等其他恶意攻击。最后，令人担忧的是，攻击者越来越多地采用人工智能工具来策划高度复杂而分散的 DDoS 攻击，使得企业及公共机构一方面要确保一致的可用性和性能，一方面还要应对重大的防御挑战。遗憾的是，随着各种威胁变得愈加复杂并且几乎每天都在演进，很多关于 DDoS 防护的误区仍然存在，其中一些误区甚至得到了安全供应商的支持。所有安全策略都必须将

4、 DDoS 防护作为关键原则，因此了解这些误区所带来的危险对您的 DDoS 防御工作来说至关重要。|3总容量代表可用的全部抵御资源虽然总容量很重要，但在忽略重要细节的情况下，简单的网络容量数字可能会让人产生误解。企业在评估 DDoS 防护技术解决方案时需要提出以下问题：有多少网络容量专门用于消耗攻击流量？有多少抵御系统资源明确专用于阻止攻击？有多少网络和系统资源可用于向该平台上的所有客户群和每个唯一租户传送安全 流量？这些问题都至关重要，因为如果网络总容量中包含用于满足其他需求（例如内容交付）的容量，则实际 DDoS 防御容量可能只占提供商所声称容量的一小部分。DDoS 防御容量也不仅仅局限于

5、技术层面。在某些时候，如果技术无法有效发挥作用，是否会有专门的人力资源来进行升级、事件响应和微调抵御措施？最强大的抵御措施需要将自动化和机器智能与人类专业知识相结合，从而提供纵深防护能力。提示深入了解提供商的总网络容量与平台稳定性之间的差异，及其有多少容量用于抵御攻击和交付干净流量。这些容量应被视为独立分区。例如，应按用途划分和提供专门的容量，如网络路由攻击流量、阻止或抵御攻击流量以及将安全流量传送回数据中心。误区 |4互联网服务提供商和/或云服务提供商提供的 DDoS 防护已足够遗憾的是，很多企业仍然认为其互联网服务提供商(ISP)提供的防护措施能够满足所有抵御需求。而真相是：ISP 通常仅

6、提供经过重组、现成且带宽有限的商用 DDoS 防护措施。他们自己的基础架构与您的基础架构一起共享他们的硬件，这意味着容量和 CPU 周期受到限制。如今的 DDoS 攻击规模之大会让这两种基础架构都不堪重负，而 ISP 会对您的流量进行空路由（或黑洞路由），以防止对其他生产资源造成附带损害。通过对所有流量进行黑洞路由，企业会失去来自最终用户的合法流量和服务，导致业务在实际上离线而让攻击得逞。此外，虽然云服务提供商(CSP)通常允许客户在 CSP 的云环境内设置自己的控制措施并保持对其安全态势的主权，但大多数 CSP 本身通常会拒绝承担任何责任，并最终向客户收取非法 DDoS 流量的费用。考虑到现