在過去的十年中，分布式拒絕服務攻擊(DDoS)不斷激增，成為幾乎每一個暴露在互聯(lián)網(wǎng)上的企業(yè)面臨的主要威脅之一。而近來DDoS又發(fā)生了新的變化，大流量攻擊已經(jīng)變得越來越普遍，這一變化也意味著企業(yè)越來越疲于應對如此程度的攻擊。

“如今DDoS已能達到125GB的攻擊流量，到2016年攻擊速度將達到1TB/s。”Akamai信息技術安全部總監(jiān)John Ellis在接受ZDNet專訪時表示。

而極少有公司或組織擁有可以抵御這種程度攻擊的設備，傳統(tǒng)的通過增加網(wǎng)絡帶寬資源也只是在應對小規(guī)模流量攻擊時防御效果明顯，面對大規(guī)模攻擊時則力不從心。

糟糕的是，隨著僵尸網(wǎng)絡的擴散，DDoS攻擊規(guī)模不斷提升。John多次提到，大流量攻擊在現(xiàn)在已經(jīng)變得司空見慣，Akamai曾為受到DDoS攻擊的客戶緩解了超過200Gbps的流量。根據(jù)Akamai發(fā)布的《2012互聯(lián)網(wǎng)發(fā)展狀況報告》顯示，作為一個長期延續(xù)的趨勢，許多Akamai客戶在2012年上半年都遭遇了拒絕服務攻擊。僅在今年上半年，Akamai的支持團隊就記錄了89次客戶針對DoS攻擊提出的協(xié)助防御請求。攻擊者不再局限于網(wǎng)絡層攻擊，更多的是針對應用層DoS攻擊(大流量或“慢DDoS”)或網(wǎng)站應用攻擊(SQL注入、跨站腳本攻擊等)，這種攻擊一旦成功，不僅會嚴重影響目標網(wǎng)站的可用性，而且由于其本身的特性，還會帶來數(shù)據(jù)泄漏的重大風險。

John進一步補充道，傳統(tǒng)的防御方法缺點是增加延時，先通過監(jiān)控BGP通道再通過GRE，這需要30分鐘的時間判定問題，而且還會制造一些假象，難以發(fā)現(xiàn)根源。

IT管理者需要找到一種行之有效的方式，來應對網(wǎng)絡上這破壞性的攻擊。John告訴記者，Akamai將安全防護擴展到數(shù)據(jù)中心之外，通過建立包含超過十萬個服務器，分布于83個國家，2000多個網(wǎng)絡中的智能平臺防堵DDoS攻擊。這一基于云的中心可吸收鎖定應用層的DDoS流量，將針對網(wǎng)絡層的所有DDoS流量轉(zhuǎn)向。作為基于云的托管服務，Akamai降低了集中式安全資源和人員的相關負擔，使核心基礎設施更加靈活有效。

值得一提的是，Akamai智能平臺能夠?qū)戏髁亢凸袅髁窟M行區(qū)別對待，從而高效地進行處理。John說到，數(shù)據(jù)中心一旦迎來高峰，傳統(tǒng)的提高帶寬或集中式的安全解決方案不能分辨是因為網(wǎng)站歡迎度提升或一些熱點事件導致瀏覽量增加，還是一些非法攻擊流量造成的。在Akamai的解決方案下，在源頭檢測并提前處理惡意請求有利于保護源服務器，并可有效阻擋互聯(lián)網(wǎng)攻擊流量，這種獨有的分布式方法能夠提供最佳的解決方案。

John解釋了這一原理，“假如CCTV是我們的客戶，通過Akamai眾多的服務器建立一個Cache。瀏覽者想要得到這個數(shù)據(jù)，這個數(shù)據(jù)直接是從服務器傳輸?shù)綖g覽者，不是CCTV傳輸過去的。如果這個信息在Cache沒有的話，CCTV把信息傳輸給Cache，每個服務器都可以分享這個信息。這個Cache可以區(qū)別瀏覽者或攻擊者，流量一旦超過頻率控制設定的門檻，就會進入等候區(qū)，然后進行分析。客戶可以根據(jù)分析結(jié)果選擇不需要這個流量或讓服務器吸收這個流量，也可以讓它重新選擇路徑。”

分布式的云平臺可對互聯(lián)網(wǎng)的正常運行進行持續(xù)的實時監(jiān)控和分析。 這包括各地區(qū)流量水平、各主干網(wǎng)狀況、DNS服務器狀況以及BGP擾動等數(shù)據(jù)。利用由異常流量模式觸發(fā)的客戶專用報警機制，Akamai對全球網(wǎng)絡的實時獨特監(jiān)控可提前識別流量攻擊及其資源。

John最后指出，除了大規(guī)模的流量攻擊外，針對應用層漏洞的攻擊也愈發(fā)明顯。在經(jīng)過測試的網(wǎng)絡應用程序中，近一半包含重要漏洞或緊急漏洞。比如SQL注入，跨站腳本攻擊(XSS)，應用層DDoS攻擊比網(wǎng)絡層DDoS攻擊更難檢測。

John認為，傳統(tǒng)的網(wǎng)絡防火墻和入侵防護系統(tǒng)無法有效地防御這些危險的網(wǎng)絡攻擊。每一種方式均有其操作弊端，公司購買和管理這些部署在內(nèi)線的設備，容易造成嚴重的單點故障。綜合安全構(gòu)架傾向于集二者之長于一身，基于云的分布式安全服務進行按需防護，能夠簡化源服務器基礎架構(gòu)，同時減少IT規(guī)劃和維護的煩惱。這種經(jīng)濟有效的可擴展方式給企業(yè)安全防護提供最優(yōu)的選擇。