长久以来，DDoS攻击一直是威胁我国互联网安全的主要因素。由于DDoS攻击成本低、易得手的特点使DDoS攻击成为攻击者首选攻击方式。无论是互联网企业还是传统企业，只要涉及互联网业务都面临DDoS攻击的威胁。

DDoS 攻击的动机是“名”和“利”

“名”主要是指黑帽子们(特指有破坏行为的黑客)为了宣扬主张和自我价值，通过DDoS攻击具有社会影响力的企业和机构制造事端。带有这种意图的DDoS攻击造成的事件往往备受关注，也大多被媒体频频报告。例如，2009年，伊朗选举网络战，伊朗反对派支持者在选举结果公布后对亲内贾德网站、伊朗总统网站和其他伊朗政府网站组织协调了一系列 DDoS攻击;2010年12月，黑客组织Anonymous对Paypal、万事达、VISA 以及美国银行网站等多家金融机构的网站发动DDoS攻击，作为对上述金融机构撤销和停止维基解密银行业务行为的报复，表达对维基解密的同情。

“利”主要是指敛财发动DDoS攻击实施敲诈勒索。为了敲诈勒索发动的DDoS攻击大多数不为人所知，往往后果非常严重的事件(例如，5.19 事件全国大范围网络故障)才会被人们知道。根据 PAMADS产品试用的当前结果来看，在地市级 IDC 机房中平均每周都会发现 2～3 次 DDoS 攻击，攻击的对象主要集中在中小企业。发起DDoS攻击的“网络黑社会”主要是通过收取佣金(攻击雇佣者竞争对手的网站)，直接向受害者敲诈钱财或者勒索广告代理权达到敛财的目的。

DDoS 攻击与防护是场持久战

DDoS 攻击难以从源头上“根治”。由于 DDoS 攻击在技术上利用了互联网的设计缺陷，具备极强的隐蔽性，使得绝大部分DDoS 攻击难以靠技术手段追踪和溯源。即使攻击者暴露了身份，例如敲诈勒索，也很难在短期内锁定真正的攻击源，从源头上制止DDoS攻击。

从部署上DDoS攻击很难追踪。DDoS 攻击的部署上往往分为三层，黑客终端、控制傀儡主机和攻击傀儡机。攻击指令由黑客发布给控制傀儡机，再由控制傀儡机转达给攻击傀儡机。我们需要往上追踪三层才能查到黑客所用的IP 地址和地理位置信息。而在现实中，傀儡主机和攻击主机分别部署在不同的省市，也有可能在不同的国家，要实现追踪几乎是不可行的。

DDoS 工具的防追踪的设计使得溯源更加困难。首先，70% 的 DDoS 攻击采用了虚假的源 IP 地址(通过源 IP 地址是找不到攻击傀儡主机的)。其次，动态恶意域名(FFSN)技术的在 DDoS工具中广泛引入，使得控制傀儡主机和攻击主机之间联络极短促，攻击主机每隔数毫秒即更换控制傀儡主机，使得控制傀儡会无法定位和追踪。再次，黑客使用匿名代理联系控制傀儡主机，也会使得黑客主机无法定位。

总之，DDoS 攻击工具良好的隐蔽性使黑客们攻击被发现的风险极小。在短期内，DDoS 攻击现象无法被根治，DDoS 攻击与防护必然是场持久的战争。

打赢 DDoS“攻防战”的核心要素是人

在 DDoS 的“攻防战”中，企业要面对的并不是一堆DDoS攻击的报文，也不是DDoS 攻击工具，而是那些操纵 DDoS 攻击的人。DDoS 攻防实质上是人与人之间的对抗，是攻击者与防护者之间的对抗。防护者的攻防能力决定了DDoS 攻防战的输赢，所以，人才是 DDoS“攻防战”中最核心的要素。

DDoS“攻防战”中，防护的基础首先是辨别 DDoS 攻击的手法，即 DDoS 攻击的目标和类型。针对不同的攻击手法，流量就有不同的特征，才能找到对应的防护方案。例如，常见的Synflood攻击是针对服务器的攻击，一般用来耗尽服务器连接资源，使得正常访问无法建立连接，常见的防护方法是设置 SynCookie。而 UDP Flood 和 PingFlood 往往用来堵塞带宽，让正常的访问无法抵达服务器，常用的防护方法是用访问控制列表(ACL)过滤。其次，防护者应能够根据判断 DDoS 攻击目标和类型的结果，迅速找出响应的解决方案，并且迅速部署。综上所述，企业的安全运维人员需要掌握以下几点知识和技能才能将DDoS防护工作做好。

持续跟踪和了解DDoS攻击的种类、特点与特征，以及防护方式;

熟练掌握流量分析工具和攻击特征识别的方法，例如抓包分析报文特征;

了解防护的业务特征、网络部署;

熟练操作DDoS防护设备。