2019年面对全新的DDoS攻击，企业需做好哪些防护措施？

随着互联网网络的不断发展，在给人们带来各种便利的同时，DDoS攻击的规模也越来越大，现在已经进入了 Tbps的DDoS攻击时代。DDoS攻击不仅规模越来越大，攻击方式也越来越复杂，很多传统的DDOS防护措施已无法应对日益进化的攻击手段。为了确保企业能完全应对各种全新的DDOS攻击，企业必须加强和升级DDOS防御措施，今天墨者安全就来说说2019年面对全新的DDoS攻击企业需做好哪些防护措施？

1、应用层DDoS防护

应用层(L7) DDoS攻击已经超过网络层(L3/4)攻击，成为了最广泛的攻击矢量。根据相关数据统计，64%的企业都面临着应用层攻击，相比之下，面临网络层攻击的企业仅为51%。而在所有的攻击类型中，HTTP洪水攻击排名第一。此外，SSL、DNS和SMTP攻击也是常见的应用层攻击类型。这些趋势暗示了，现代DDoS防护已经不只是为了防御网络层DDoS攻击。为了让企业得到充分保护，现代DDoS防护措施必须包含可以防御应用层(L7)攻击的内置防御措施。

2、SSL DDoS洪水防护

目前，加密流量占了互联网流量的一大部分。全球70%以上的网站都是通过HTTPS传输的，这一比例在美国和德国等市场中更高。然而，这种增长也带来了重大的安全挑战：与常规请求相比，加密请求可能需要高达15倍以上的服务器资源。这就意味着，复杂的攻击者即使利用少量流量也可以击垮一个网站。由于越来越多的流量都是经过加密的，SSL DDoS洪水成为了黑客越来越常用的攻击矢量。鉴于基于SSL的DDoS攻击的威力，对希望得到充分保护的企业而言，可以防御SSL DDoS洪水的高水平防护措施是必不可少的。

3、零日防护

攻击者在不断寻找新的方法，绕过传统的安全机制，并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改，黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击。最常见的零日攻击有脉冲式DDoS攻击和放大式攻击，据相关数据统计，42%的企业都遭受了脉冲式攻击，40%的企业声称遭受了放大DDoS攻击。这些趋势说明了零日攻击防护功能在现代DDoS防护机制中的必要性。

4、行为防护

由于DDoS攻击变得越来越复杂，区分合法流量和恶意流量也随之变得越来越困难。许多安全厂商采用的常见机制就是基于流量阈值来检测攻击，并使用速率限制来限制流量峰值。然而，这是一种非常粗糙的攻击拦截方式，因为这种防御手段很难区分真实流量和攻击流量。特别是在流量高峰期间，速率限制等单一的防护机制无法区分合法流量和攻击流量，最终会拦截合法用户。因此，采用了基于行为分析的检测(和缓解)的DDoS防护措施确实是有效的DDoS防护中的必备功能。