差不多兩年前，安全專家就曾提出過這樣一個問題：攻擊的規(guī)模是否真的很重要？而現在正是需要重新審視這一問題并且留心網絡犯罪所發(fā)生的各種變化的時候了。

2012年的熱門話題是企業(yè)需要為應對大規(guī)模攻擊做好充分準備。2013年針對Spamhaus的攻擊支持了這一說法。Spamhaus是一個致力于對抗垃圾郵件的國際性非營利組織，針對Spamhaus發(fā)起的DDoS攻擊是互聯網歷史上公認的最大的攻擊之一，攻擊流量高達300Gbps。這一大規(guī)模的攻擊改變了關于網絡威脅的觀點。

就像人們通常對金融債務有所保留那樣，當債務合理時，這是個人問題；而當債務非常龐大時，這就是所有人的問題了。而針對Spamhaus發(fā)起的攻擊規(guī)模如此之大，甚至威脅到了互聯網基礎架構的完整性，這就成了所有人都必須面對的問題。

攻擊者進行偽裝

在幾乎所有的DDoS攻擊案例中，受害者的網絡基礎架構都用來處理海量流量，而未能保護應用可用性。為了更好的理解這是如何發(fā)生的，安全專家建議企業(yè)安全人員了解一下過去兩年間網絡犯罪發(fā)生了哪些變化又出現了哪些新手段。

Web隱蔽攻擊

攻擊者了解到多數緩解工具都在使用IP地址黑名單來攔截基于僵尸網絡的攻擊。通過利用動態(tài)IP地址發(fā)起攻擊，或是使用代理服務器、CDN（內容分發(fā)網絡）、匿名或加密通信來規(guī)避檢測，攻擊者可以繞過黑名單這一防御機制。

Web隱蔽攻擊使用了一組DoS/DDoS攻擊方法，其中包括暴力破解(如：攻擊登錄頁面)、文件上傳侵擾、SSL加密應用攻擊等。

以登錄頁面攻擊為例，盡管攻擊頻率有所增加，但仍沒有得到媒體太多關注。登錄頁面攻擊暴露了企業(yè)中的薄弱環(huán)節(jié)。企業(yè)在網絡安全上進行投資，用以保護Web服務器和應用；同時，他們也開展了按需容量分配計劃，以解決突發(fā)的流量增長；然而，這并不能很好地保護登錄服務器。攻擊者可以發(fā)起容量相對較低的登錄請求，阻止合法用戶服務，并成功入侵登錄服務器。

攻擊者可以避開CDN防護措施

內容分發(fā)市場一直在進行拓展。在媒體公司、內容聚集者等內容提供商廣泛采用內容分發(fā)網絡(CDN)解決方案的同時，其它垂直市場也開始將CDN用做內容緩存機制，以提供更好的用戶體驗。緩存卸載機制是CDN解決方案的核心，黑客們通過請求動態(tài)內容，成功戰(zhàn)勝了這一強大的緩存卸載機制。利用此方法，攻擊者創(chuàng)建了可以躲避CDN檢測的攻擊工具，并對數據中心的應用服務器進行飽和攻擊。

因此，企業(yè)無論是否做好準備，都必須改變自己的方式，因為DoS/DDoS攻擊成為了攻擊的首選武器。

相關閱讀：企業(yè)網絡安全新時代的應對策略