Akamai：2024年11个根深蒂固的DDoS误区报告.pdf

书

皮

白

11个根深蒂固的

DDoS误区

近年来，分布式拒绝服务(DDoS)攻击的程度、规模、分布和复杂性显著增加，从一些破

纪录的攻击中便可一见端倪。遗憾的是，很多企业在如何自我防御方面仍然抱有一些过时

的想法，认为他们的防御措施已经足够，或者更糟糕的是认为他们不太可能成为攻击目

标。而真相是：这些攻击的受害者遍布从金融服务、电子商务到游戏的所有主要行业。实

际上，对医疗保健、能源和公共事业、教育以及交通等关键公共基础设施的攻击尤其令人

担忧。2023年，Akamai保护了亚太地区的一家客户，使其成功抵御了一次每秒900千兆位

(Gbps)的大规模攻击。同年晚些时候，Akamai阻止了一次634Gbps、每秒5500万个数

据包(Mpps)的攻击，该攻击采用复杂的攻击媒介组合，是有史以来针对美国金融服务客户

的最大规模攻击之一。这是Akamai迄今为止抵御的一次最大规模DDoS攻击：1.44Tbps、

385Mpps的全球分布式攻击，持续了将近两个小时。这些事件清楚地表明，网络犯罪分

子继续以关键经济支柱为攻击目标。

虽然这些攻击的规模可能会让一些小型企业认为他们成为DDoS攻击目标的风险较低，但

事实是，各行各业中的关键业务服务和应用程序都很容易成为目标。由于政治和意识形态

动机的黑客崛起，以及Killnet和AnonymousSudan等网络犯罪分子团伙提供的DDoS服

务成本相对较低，这使得几乎每个人都可能成为目标。众多企业需要担心的也不仅仅是最

初的攻击。DDoS攻击正越来越多地被用作烟幕弹来分散网络和安全资源的注意力，而攻

击者会尝试同时发起勒索软件DDoS攻击(RDDoS)或三重勒索活动等其他恶意攻击。最

后，令人担忧的是，攻击者越来越多地采用人工智能工具来策划高度复杂而分散的DDoS

攻击，使得企业及公共机构一方面要确保一致的可用性和性能，一方面还要应对重大的防

御挑战。

遗憾的是，随着各种威胁变得愈加复杂并且几乎每天都在演进，很多关于DDoS防护的误区

仍然存在，其中一些误区甚至得到了安全供应商的支持。所有安全策略都必须将DDoS防护

作为关键原则，因此了解这些误区所带来的危险对您的DDoS防御工作来说至关重要。

|2

误区1

总容量代表可用的全部抵御资源

虽然总容量很重要，但在忽略重要细节的情况下，简单的网络容量数字可能会让人产生误

解。企业在评估DDoS防护技术解决方案时需要提出以下问题：

•有多少网络容量专门用于消耗攻击流量？

•有多少抵御系统资源明确专用于阻止攻击？

•有多少网络和系统资源可用于向该平台上的所有客户群和每个唯一租户传送安全

流量？

这些问题都至关重要，因为如果网络总容量中包含用于满足其他需求（例如内容交付）的

容量，则实际DDoS防御容量可能只占提供商所声称容量的一小部分。

DDoS防御容量也不仅仅局限于技术层面。在某些时候，如果技术无法有效发挥作用，是

否会有专门的人力资源来进行升级、事件响应和微调抵御措施？最强大的抵御措施需要将

自动化和机器智能与人类专业知识相结合，从而提供纵深防护能力。

提示

深入了解提供商的总网络容量与平台稳定性之间的差异，及其有多少容量用

于抵御攻击和交付干净流量。这些容量应被视为独立分区。例如，应按用途

划分和提供专门的容量，如网络路由攻击流量、阻止或抵御攻击流量以及将

安全流量传送回数据中心。

|3

误区2

互联网服务提供商和/或云服务提供商提供的

DDoS防护已足够

遗憾的是，很多企业仍然认为其互联网