應用層的DDoS(拒絕服務攻擊)威脅對于數據中心運營商來說是更加的危險。因為IPS設備和防火墻的狀態檢測設計遇到這種新的攻擊手法會大量增加的狀態要求會變得更加脆弱，使得設備本身更容易被攻擊。此外，現行基于邊界網絡的防護措施如果想要利用云計算來解決DDoS攻擊，利用服務提供商的DDoS基礎設施或布署在受害者基礎設施上游的專用DDoS攻擊防護措施，都還有段很大的差距。

現行的解決方案無法好好利用在網絡上散布的運算能力，也無法協調上游設備在流量飽和前將它偏轉掉。沒有一個現成的解決方案可以同時運作在邊界網絡和云端中。

來看看這篇從infosecurity-magazine.com上的文章，Arbor Networks的產品主管 - Rakesh Shah談論今日的DDoS攻擊，這篇發表在Cloud Security Alliance的文章的確值得一讀。

我從Arbor成立時就開始注意他們了，當我還在Exodus Communications的時侯，他們的原始創辦人曾經來找過我，看看我們是否可以資助他們。當時，我很懷疑他們是否可以從網絡上拿到足夠的資料來做他們計劃中的事情。不過，我錯了。時代改變了。

Rakesh的這段話中有兩個重點。首先是過早的針對網站和DNS服務器的DDoS技術已經...老了。它們依然有用，但是網絡供應商對于如何防阻他們已經做得越來越好。

當我還在Speedera Networks時，在Akamai收購我們之前，我們只被DDoS攻擊成功過一次，那次是我們的DNS服務器受到攻擊。我們難過地告訴客戶我們遭受攻擊而無法維持住他們的網絡流量。那個客戶轉移到了Akamai，結果在第二天又被同個DDoS攻擊成功，而這間記錄非常良好的公司就只有被DDoS攻擊成功過一次，因為他們有非常好的分布式架構。今天你就沒再聽過類似的故事了。

攻擊HTTP的DDoS不會消失，但我們已經越來越知道如何處理它們了。現在，都是應用層的DDoS攻擊了，它可以不停的耗掉后端的服務器，終究用完所有的云計算額度，結果受害者只能出選擇花錢將云計算額度加大，或是就讓應用服務關閉。

以用量為基礎的計價方式并不總是好的，尤其是這些用量都是DDoS造成時!

Rakesh所提出來的第二個有趣的觀點是，DDoS攻擊防護方案并沒有用到網絡上散布的運算能力。所以能夠解決DDoS攻擊的終極方案就是使用網格云。如果有解決方案可以用上網絡巨量的運算能力，那么應用層DDoS攻擊就會失敗。

畢竟，利用僵尸網絡/傀儡網絡 Botnet來進行DDoS攻擊本身就是種網格云，有些僵尸網絡能運用的總和運算能力連Google或其他云端供應商的集中式數據中心都相形見拙。

利用網格云來對抗使用網格云推動的DDoS攻擊不僅聰明，還很經典。我期待可以看到一個真正的解決方案實現出來。