引言：时至今日，DDoS攻击从未消沉过，近两年来，虽然针对企业以经济利益为目的的高级可持续性攻击越来越多，而企业也越来越难以防范。但作为一种易于开展又为害甚重的攻击手段，DDoS攻击也成为如今困扰企业的难题之一。

DDoS攻击全称分布式拒绝服务攻击，攻击者大都以瘫痪对方的服务为直接目的，以耗尽网络设施(服务器、防火墙、IPS、路由器)性能为手段，利用网络中分布的傀儡主机向目标设施发送恶意攻击流量。由于傀儡主机数量巨大，所以DDoS 攻击产生的流量经常会达到服务器甚至是电信级网络设备的性能上限。同时由于傀儡主机呈现多地区分布的特点，导致攻击难以溯源，无法准确防范。而其简单的工作原理和攻击方式导致大量的不法之徒可以轻易的掌握某种DDoS攻击技术。

企业目前在安全和风险管理上面临着几个严重的挑战，首先是缺乏端到端的企业整体安全方案;其次缺乏统一的安全防御模型。信息的共享与使用存在困难，政府和不同的企业、企业的不同系统之间，在安全架构与模型、信息通告、接口标准等方面缺乏统一与协作，导致虽然企业建立了多种安全防御系统，但攻击仍然可以利用安全盲区发动;最后安全防御的成本急剧增加，攻防成本和效率失衡。

基于以上的机会，DDoS攻击在如今呈现愈演愈烈之势。近两年来，最大规模的DDoS攻击早已超过100G。而对传统的企业级安全防御设备来说却无法有效的进行防御，防火墙作为网络基础安全设施已经得到人们的认可，但防火墙的主要功能是域间隔离、NAT、VPN。DDoS攻击的对象是部署在防火墙DMZ区的服务器，传统防火墙对DMZ区只能采用通用的基于应用端口和四层协议的访问控制，如果攻击是模拟业务访问报文，防火墙的防范会彻底失效。IPS设备基于特征库过滤已知威胁，但是当前DDoS攻击大部分都是模拟合法业务访问报文，所以IPS系统面对DDoS攻击往往也束手无策。

而最糟糕的是，大量变源IP变源端口的DDoS攻击会快速导致部署在网关处的新建会话低的防火墙或IPS早于业务系统瘫痪，现网已经出现多次DDoS攻击引起防火墙和IPS瘫痪最终导致网络业务中断的事故。

D1Net评论：

可以看出，DDoS 防护是一场长期持久的战争，攻击者总是在猜测着防护体系的防范规律，同时也在不断的推出新的攻击软件和攻击手段。在如此情势下，单纯靠网络安全设备来进行防护是远远不够的。完整而健全的防护体系实际上需要DDoS 防护设备，应急响应团队，攻击分析团队和DDoS 防护开发团队的通力合作才能够建立。