DDoS攻擊正在增加還是減少？這要看你問誰了

分散式拒絕服務（DDoS）攻擊對企業來說仍然是一項不可預測且充滿挑戰的威脅，但是，有關該威脅演變的實際細節，卻有可能隨著報告來源的不同而呈現出巨大的差異。

上周，分別由Verisign和Nexusguard公司發布的兩份報告就是很好的例子。

同一季度不同供應商報告中的攻擊峰值可相差近4倍

這兩家供應商均報告稱，與上一季度相比，2017年第四季度多向量攻擊呈總體上升趨勢，而DDoS攻擊的數量則呈整體下降趨勢，但是由於這些調查數據都是基於各自公司的客戶數據，所以具體細節方面有所差異。

Nexusguard報告稱，2017年第四季度的DDoS攻擊總數比去年同期（2016年第四季度）減少了12%，比上季度（2017年第三季度）下降了16%以上。Verisign則報告稱，同一時期的DDoS攻擊總數減少了高達25%，並表示這種攻擊數量將呈現持續下降的趨勢。

Nexusguard介紹稱，多向量以及混合威脅在上季度的總體威脅中佔比高達56%；而單向量攻擊僅佔43%左右。根據Nexusguard的報告顯示，雙向量攻擊——例如結合了UDP和DNS的攻擊——佔據多向量攻擊總數的33%，而三種向量的攻擊則約佔15％。

同時，Verisign也表示，在2017年第四季度中，高達82%的DDoS攻擊使用了多個攻擊向量。不同的是，Nexusguard將雙向量攻擊視為最常見的多向量攻擊類型，而Verisign則表示，46%的多向量攻擊涉及5種或更多種攻擊類型。

Verisign上個季度處理的最大的DDoS攻擊峰值為53Gbps；而Nexusguard則表示它遇到的最大的DDoS攻擊峰值超過231Gbps。但是這兩家供應商對於攻擊平均峰值的估計卻大致相同——很大可能不會超過10 Gbps。不過，Verisign進一步指出攻擊峰值的平均值同比（與2016年第四季度相比）下降了32％。

對於Nexusguard 來說，上季度觀察到的一個關鍵問題是針對啟用DNSSEC（DNS安全擴展，是由IETF提供的一系列DNS安全認證的機制）的伺服器的放大攻擊（亦稱反射攻擊）正在急劇增加。Nexusguard表示，2017年第四季度的DNS反射攻擊數量較上一季度猛增了近110％，而使用DNS放大的DDoS攻擊與2016年第四季度相比增長了近358％。

Verisign和Nexusguard兩家報告所稱的「2017年第四季度DDoS攻擊呈減少趨勢」與其他供應商提供的報告結論有些不一致。例如，全球安全倡導者，Akamai最近發布的《互聯網安全狀態報告》的主要作者Martin McKeay就表示，DDoS攻擊總量在過去幾年中只有增長沒有減少。

「

Akamai研究發現，2017年第四季度的DDoS攻擊數量與第三季度相比基本持平，但是與2016年同期相比卻增長了14%。從我們所看到的情況來看，最近幾個季度的DDoS攻擊數量一直保持相對穩定的狀態，但是與上一年同期比對後就會發現，DDoS攻擊每年都有非常明顯的增長趨勢。

同樣地，Akamai在涉及啟用DNS和DNSSEC域名的攻擊方面也未見明顯增加。 McKeay表示，多年來，利用DNS和DNSSEC反射DDoS攻擊始終佔據總體攻擊活動的25％左右。並沒有像Nexusguard和Verisign報告的一樣呈現迅猛增長趨勢。

Corero公司首席執行官Ashley Stephenson在DDoS攻擊趨勢方面也有著與Akamai類似的觀點，他表示並沒有發現任何跡象可以表明近期的DDoS攻擊數量正在呈現下降的趨勢。此外，Stephenson也表示，與McKeay所述一致，Corero公司也並未觀察到Nexusguard報告中所述的「DNSSEC放大攻擊急劇增加」的現象，不過，他同意Nexusguard報告中提到的多向量攻擊已經變得更為普遍的結論。

DDoS攻擊的觀測數據受眾多因素影響

Stephenson表示，DDoS攻擊報告中的差異，與捕獲數據的方式、位置、以及不同組織如何定義DDoS攻擊有很大關係。例如，對於在線遊戲行業的組織而言，500 Mbps到1 Gbps範圍內的流量足以構成DDoS攻擊。而對於擁有大型數據中心的大型金融機構或銀行而言，這種規模的攻擊根本微不足道，所以，也就不太可能會將這種規模的攻擊定義為DDoS攻擊。

McKeay表示，平均攻擊規模通常也可能是誤導性的。在很多情況下，一兩次大型的攻擊就很容易讓報告數據失衡，這就是為什麼跟蹤中位數攻擊的規模反而更好一些的原因。他說，「一兩次大型攻擊，或一段時間內沒有攻擊都可能導致平均攻擊規模大小度量的偏差，從而導致得出的數據不可靠。」

此外，衡量攻擊的地方也可以造成很大的差異。Stephenson表示，靠近源頭測量的攻擊將遠遠大於靠近目的地或目標所測量的攻擊——有時可能會得出相差10倍的數據結果。

他說，以一個內容交付網站為例，有些報告可能會選擇測量攻擊的源頭，但事實是源頭的很多流量並不會到達目的地。同樣地，有些報告可能會選取中間某處（遠離源頭和目的地）來測量DDoS流量，最終，這些報告就會因為選取測量的位置不同而得出與眾不同的數據。你可以想像這些數據在一個巨大的漏洞中，儘管你在源頭測量出terabits的數據，但是在漏洞的另一端出現的數據可能會小得多。

「

最後，如果你是一家企業的話，你必須最關心的點應是究竟哪些影響了你。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！