DDoS攻击已经出现十多年了，当然，与过去相比，其动机和方法已经发生了变化。一般说来，DDoS攻击的目标是为了耗用网络或应用资源，从而影响业务进程或网站的可用性。或者，DDoS攻击可用作“调虎离山”之计，吸引安全团队的注意力，隐藏其不可告人的目的。

在可见的将来，容量耗尽型攻击将一直是主要的攻击类型，因为僵尸网络很容易发送带宽洪水或数据包洪水，使其远远超过多数企业的基础设施所能处理的容量。最近的攻击都利用了DNS安全中的漏洞，并成功地创造了大量的通信。有专家预计，将来针对应用层和SSL的攻击将日益增加，这种攻击主要针对的是协议本身，以此作为一种消耗资源的策略，同时这种攻击还使用加密通信来绕过企业的防御。

最初，DDoS的许多目标是网络游戏和赌博网站，再到后来，黑客行动主义成为攻击者的主要动机。但最近，由国家资助的攻击开始针对金融机构，并有着明显的经济动机。虽然，一般说来，攻击在各行业中都有发生，但最常见的攻击是金融服务、电子商务、在线游戏、云服务等。此外，能源、高等教育、以媒体为中心的企业也被DDoS攻击列为了重点。

DDoS攻击常出现在各类新闻中，因为这种攻击相对“高调”且对客户的影响巨大。那些有针对性的隐秘攻击主要表现在攻击者渗透进入企业，在不被察觉的情况下窃取数据，这种攻击往往可以长达几个月或几年的时间破坏企业而无人知晓。但对于DDoS攻击，其结果可立即感觉到。客户们无法访问企业的网站或应用，客户和企业都会长时间地受到影响。最终，企业会由于DDoS攻击而面临着丧失收入、丢失客户、丢掉品牌的风险。

给数据中心管理员的建议

专用的本地内部解决方案是防御DDoS攻击的关键要素。这类防御方案可以提供专用的资源，可以保护基础架构（例如，可以保护路由器、防火墙、IPS等）的其它要件免受恶意通信的攻击。而且，专用的DDoS攻击解决方案能够深入挖掘通信的动态数据流，可以检测机器生成的请求，并将资源请求与资源响应关联起来，进而检测和减轻第七层（应用层）的攻击并限制那些误报的（虚假的）情况。

第三层和第四层仍是当今DDoS攻击最常见的攻击目标，但针对第七层Web应用的攻击(例如，通过HTTP 的Get或Post请求)。这些以应用程序为重点的攻击往往更难以检测。此时，企业的资源也许可以访问，但运行速度极慢。同样地，如果没有专门用来解密和分析SSL通信的解决方案，那些利用加密SSL连接的攻击也是难以检测的。与容量耗尽型攻击和基于应用的攻击相比较而言，面向SSL的威胁仍相对较少，但正呈上升趋势。多数DDoS攻击至少使用上文所述三种方法的两种，并在其攻击过程中不断变换攻击载体。

基于特征和基于行为的攻击检测方法的利弊

基于特征的防御对于快速高效地检测已知的攻击方法来说是很强健的。这种防御能够在攻击开始时就能够检测、丢弃、清除恶意通信。但在新的攻击方法出现时，或是一种攻击使用了合法通信实现恶意目的时，基于特征的防御就不太可能检测到攻击。基于行为的解决方案可以更深入地分析通信类型以及资源如何响应请求，并且可以将威胁情报与其它信息来源结合起来，不管通信是不是看似合法或是零日漏洞的结果，都可以决定通信是否恶意。

从历史上看，使用这些解决方法的弊端是，这些方案往往必须部署在“带外”，以减少迟延问题。此外，误报（或虚假情报）也是一个潜在的问题。但是，硬件技术的发展已经解决了延迟问题，而且大数据分析对威胁情报的影响也有助于减少假情报问题，这就使得基于行为的解决方案成为一种更可行的选择，有时甚至是更令人满意的选择。

如何减少攻击检测的误报风险

总体而言，误报问题是IT管理员非常关心的。从历史上看，Web应用防火墙曾仅被用于检测模式，原因就在于数据中心管理员们认为其误报的风险太高。DDoS攻击所带来的问题是对客户服务（既有内部用户又有外部用户）的中断。如果DDoS的防御解决方案经常发生误报，更有甚者，它还阻止合法用户访问资源，其结果与这些用户在企业遭受DDoS攻击时所导致的后果一样。前面讨论的品牌形象和收入的丧失等问题都有可能发生。

强健的情报分享是减少误报的一种方法。能够持续地监视已知恶意IP地址的解决方案可以使企业部署更多的资源，以便于分析可疑的IP并在真正阻止通信之前进行更深入的分析。而且，利用双向数据共享来持续且实时地改善其情报的解决方案可以有效地确保只阻止恶意通信。