在DDoS防护领域的华山论剑中，Arbor Networks的武功可以排第几？在日前Arbor在京举办的媒体见面会上，Arbor Networks大中华区总经理金大刚为我们揭秘Arbor十六年磨一剑的绝世武功。

根据金大刚引用2016年世界经济论坛的调查结果显示，网络犯罪已远超如偷盗、贩毒等线下犯罪，已达4450亿，且两级分化是目前网络犯罪的典型特点，一种呈大规模大范围的普通攻击，另一种呈具有针对性的强力攻击。就DDoS攻击手法来说，也呈现这种特点，中国目前遇到的绝大多数的DDoS攻击都属于大范围的，然而同时也存在局部性的、小规模的DDoS攻击。

传统DDoS和新形态DDoS攻击有何差别？

传统DDoS是海量的、巨量的DDoS攻击行为，而新形态的DDoS攻击是一对一的对战，特别针对目标物来发动攻击，根据目标应用行为、通信协定等各方面进行攻击，这是新形态DDoS攻击与传统攻击差别最大的一点。其次，除攻击规模外，攻击时间也发生了变化，除快速攻击外，慢型的比较微量的但却足以拖垮客户服务应用器的攻击行为也在飞速增长，如比特币勒索等。

从全球发生DDoS攻击事件看，2013之前的规模都很小，在几十G，到了2013年之后，发生史上第一次300G的攻击行为，到2014年发展至400G，2015年500G，而到了2016年，则直接增至1T，DDoS攻击已不是线性增长，而是成等比级数快速地增长。同时攻击方式也越来越多变，不再只有单一的应用攻击行为，且发生的频率也越来越高，攻击变得越来越复杂，攻击的高度也越来越大。

传统DDoS防护三大门派有短板

谈及DDoS防护，首先要理清DDoS攻击的几大形态。在金大刚看来，DDoS攻击总共呈三种形态，除传统的洪水攻击（塞爆带宽的暴力攻击）外，还有状态耗尽攻击和应用攻击（针对用户应用进行的攻击）。其中，状态耗尽攻击是指企业所用的诸多安全设备（如防火墙、入侵检测、WAF等）都是有状态表的设备，都有最大会话数的限制，如果最大会话数被黑客沾满，则合法流量无法进来。

理清DDoS攻击形态之后，再来看市场上DDoS防护的三大门派，都有各自罩门存在。目前市场上提供DDoS防护功能的厂商琳琅满目，主要分为三大派，首先是原来提供防火墙、IPS、WAF的厂商，同时提供DDoS保护功能，但都有最大会话数这个罩门限制，黑客只需瘫痪掉其最大会话数则无需再和比武过招；其次是本地运营商或流量清洗中心，但运营商的天然问题是无法侦测7层的攻击行为，因为运营商需要服务的客户类型太多，如果清洗的颗粒度太细，则正常流量无法通过，所以其在清洗的颗粒度上比较粗，会漏掉很多攻击，这对企业同样构成威胁；第三大门派是做CDN的，但其智能保护网页形态有关的用户，无法保护其他类型，所以相对来说比较窄。

针对这一现状，国际知名调研机构如Gartner、Frost&Sullivan、IDC等共同倡导了一个称作阶层式的DDoS防御策略，这一策略有两个必备元件——其一是清晰服务，以及本地端的保护设备。除了对针对3-4层的海量攻击进行过滤外，还要具体对针对7层的攻击进行二次过滤，实现阶层式防护。

Arbor DDoS防护三大神功

引用金大刚的比喻，Arbor在DDoS防护方面有三大神功。首先是“九阳神功”护体，与防火墙等设备不同，Arbor没有最大会话数的限制，采用独特的无状态表架构，只检查DDoS，不需要记录及联线会话等，以内功护体；其次是“丰富的指纹知识库”，Arbor自成立十六年来一直致力DDoS防护领域，积累了丰富的指纹知识库，这也是Arbor的DNA；最后是“乾坤大挪移”，除护体外，Arbor的设备具备对战学习模式的能力，根据黑客的行为进行判别，降低误判概率，具备强力有效的阻断手法。

且用户在购买DDoS防御产品是为了预防事故的发生，这里的预防除了对紧急状况处置进行的预防外，在非紧急状况下也能进行平时的监控和预防，以消除事故发生的可能性。Arbor设备具备这样的功能和特性，针对细微的攻击行为预先进行拦截。

目前，Arbor设备已覆盖全球95%的一级运营商，十六年磨一剑，Arbor一直坚持在DDoS领域不断创新、发展，得到个调研机构的认可。且Arbor与Google合作推出一个全世界数位攻击地图，在Google上输入Digital Attack Map，可直接看到全球正在发生的DDoS状态。