正在阅读：面对DDoS攻击量破纪录 我们怎能坐以待毙面对DDoS攻击量破纪录 我们怎能坐以待毙

　　【PConline 杂谈】企业在转向云端是需要构建最安全的系统架构。根据云安全联盟(CSA)的报告《The Notorious Nine: Cloud Computing Top Threats in 2013》，针对企业云部署最常见的攻击就是分布式拒绝服务(DDoS)攻击。分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

　　据统计，针对企业和个人数据的攻击，已经成为黑客和网络犯罪组织的首选目标；与此同时，勒索软件和DDoS攻击也在2015年持续增长，特别是DDoS攻击方面，根据Akamai的调查报告，2015年DDoS攻击增长了史无前例的180%！面对云端的DDoS攻击，我们当然不能坐以待毙，要采用有效的防御方案抵御攻击。

　　减少公开暴露

　　 绝对没有一种方法能够完全消除分布式拒绝服务攻击的威胁，理解这一点很重要。为了有效地阻击DDoS攻击并维护云服务的可用性，要运用一些核心的概念。首先，企业需要减少全部公开暴露环境。对于AWS环境，通常是在VPC中设置安全群组和私有网络。

　　准备扩展和冗余

　　弹性和可扩展要防患于未然，确保扩展和冗余在分布式拒绝攻击期间可以按需使用，尤其是在多个地理区域的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。

　　亚马逊用具体实例规模提供了加强网络，允许更多的每秒封包数从这些系统发出或者收到，从而改善性能。亚马逊提供了其弹性负载均衡(ELB)服务，对所有运行中的实例扮演一个前端的角色，也能够基于你的负载均衡需求分配流量到系统中。

　　微软针对所有的Azure提供了域名系统(DNS)和网络负载均衡，Rackspace提供了控制流量流的专属云负载均衡。对于开启新服务和在云端扩展设置自动触发器是另外一种常见方式，可以提供资源弹性。在一篇减少DDoS攻击的白皮书中，亚马逊建议使用其Auto Scaling功能，在具体的实例度量上设置触发器，比如CPU利用率、网络流量和服务状态检查——从而自动化流量扩展和针对实例的负载均衡。

　　利用内容加速网络

　　利用内容交付网络(CDN)，比如AWS CloudFront、Azure Content Delivery Network或者第三方服务，比如来自Akamai或者CloudFlare的服务，来代理流量并执行“包洗涤”动作，在云资源受到明显影响之前帮助防御和减少DDoS攻击。这些CDN通过多边网络节点分散流量，可以按需缓存和分发内容。

　　分布式拒绝服务攻击防御

　　 除了上面列出的这些关键概念，还有另外一种方法企业可以用来保护他们的基础设施。亚马逊建议使用DNS控制，比如Route 53服务来帮助控制DDoS。Route 53功能，诸如shuffle分片或者分布式DNS请求、anycast routing、alias record set——这是一种独立的DNS记录，可以在运行中快速改变，指向CloudFront或者ELB结点，以及私有DNS(仅限内部)，可以帮助提供更多的灵活性和控制能力。

　　除了所有的这些功能，云提供商建议企业要认真追踪和监控云用例模式，开发健全的常规行为基准线，如果DDoS发生了，要积极主动的度量和控制响应。[返回频道首页]