毫無疑問(wèn)，近(jìn)期策劃重大(dà)DDoS攻擊‍♥©的(de)那(nà)些(xiē)人(rén)對(duì)互聯網的(d±Ωe)內(nèi)部運作(zuò)原理(lǐφγ)有(yǒu)著(zhe)深入了(le)解。由✔€于攻擊者對(duì)這(zhè)些(xiē)專業(yè)知(zhī€∏÷€)識的(de)掌握了(le)解，以及一(yī)些(xiē)重要(yào)互聯網協議(yì✔φ¥)缺少(shǎo)基本安全保障，導緻當談到(dào)保護企業(yè)π"♠自(zì)身(shēn)安全和(hé)防範這(zhè)種類型的(φ™de)攻擊時(shí)，許多(duō)的(de€ε×​)企業(yè)處于劣勢。

這(zhè)就(jiù)是(shì)為(α₹÷≠wèi)什(shén)麽許多(duō)企業(yè)、政策和(hé)行(xíng)★γ業(yè)組織一(yī)直緻力于制(zhì)‌×↑ 定廣泛的(de)行(xíng)業(yè)計(jì)劃，減小(xiǎo)危害巨♠  "大(dà)的(de)DDoS攻擊的(de)發生(shēng)率。在大(dà)多(duō)數(φ±shù)國(guó)家(jiā)，已通(tōng)過了(le)宣布DDoS攻擊為(w↕±èi)非法的(de)法律，比如(rú)美(měi)國(guó)的(de) ‌《計(jì)算(suàn)機(jī)欺詐和(hé)濫用(yòng)法案》以及英國(gu•÷✔ó)的(de)《計(jì)算(suàn)機(jī)濫用(yòng)法案》，但(dàn)是(shì)→¶ €立法對(duì)網絡犯罪起不(bù)了(le)多(duō)↕≠∞大(dà)的(de)威脅效果。

本文(wén)将主要(yào)探討(tǎo)如(rú)何減小(xiǎo)DDoS攻擊"λ♥的(de)發生(shēng)率和(hé)破壞力，以及如(rú)何結合使用(yòng)內(nèi)≥>δ部和(hé)基于雲的(de)DDoS緩解控制(zhì)措施，盡量減÷ ♠小(xiǎo)日(rì)益複雜(zá)的(de)DDoS攻擊對(duì)企業(yè↓™)業(yè)務造成的(de)幹擾和(hé)®♣破壞。

評估DDoS攻擊的(de)威脅

DDoS攻擊的(de)破壞力很(hěn)大(dà)，足以威脅到(dào)整個(gè)國(gu♦≤✘"ó)家(jiā)的(de)關鍵基礎設施，這(zhè)個(gè)事(shì)實可(kγδě)以解釋為(wèi)何諸多(duō)政府部門(mén)在開(kāi)始要(≈σyào)求：必須制(zhì)定DDoS緩解方案。比如(rú)說(shuō)☆φ ≤，受聯邦金(jīn)融機(jī)構檢查委員(y&₩←≥uán)會(huì)監管的(de)金(j≈≥↕īn)融機(jī)構現(xiàn)在必須監控無無遭到(dào)DDoS攻•" ₩擊，要(yào)有(yǒu)随時(shí↕γ)就(jiù)能(néng)激活的(de)事(shì)件(j±$∏≈iàn)響應方案，并确保在攻擊持續期間(jiān)有(yǒu)足夠的(de)人(rén)手  ​，包括求助事(shì)先簽好(hǎo)的(de)第三方服務，如(rú)果有(yǒu≈ ↕←)的(de)話(huà)。還(hái)鼓勵金(jīn)融機(jī)構将攻擊方面的(de)詳情上>₹↑(shàng)報(bào)金(jīn)融服務信息共享'$和(hé)分(fēn)析中心以及執法部門(mén)，幫助其€₩✘↕他(tā)機(jī)構識别和(hé)緩解新的(de)威脅及手法。

針對(duì)DDoS攻擊等網絡威脅的(de)全球合作(zuò)在加強。由于僵屍網絡♠∑'&是(shì)一(yī)大(dà)威脅及常π 見(jiàn)的(de)DDoS武器(qì)，聯邦調查局φ™↔(FBI)和(hé)國(guó)土(tǔ)安全部與另外(wài)100多(duō)個(gπ®λè)國(guó)家(jiā)共享了(le)他(tā)們認為(wèi)被感染了(γ≥£le)DDoS惡意軟件(jiàn)的(de)成千上(•'shàng)萬台計(jì)算(suàn)機(jī)的¥∏§☆(de)IP地(dì)址。白(bái)宮網絡安全辦公室、商務部、國(guó)土(tǔ®≤)安全部以及行(xíng)業(yè)僵屍網絡組織也(yě)在緊密地(dì)合作(zuò)，共同φ∑對(duì)付和(hé)打擊僵屍網絡。打掉僵屍網絡無疑有(yǒ↓ •↓u)助于改善安全形勢，但(dàn)這(zhè)是(shì)一(yī)項永遠(yuǎn)不(bù←λ✘★)會(huì)結束的(de)任務。

實施DDoS緩解控制(zhì)措施，對 φδ(duì)DDoS攻擊說(shuō)不(bù)!

針對(duì)分(fēn)布式拒絕服務的(d₽♠φe)緩解方案不(bù)可(kě)忽視(shì)，因為(wèi)這(zhè)種攻擊☆∞的(de)頻(pín)率和(hé)複雜(zá)性給更多(duō)的 ÷(de)企業(yè)組織構成了(le)威脅。如(rú)今的(de)DDoS攻擊結合了(l¥←α♦e)大(dà)強度的(de)蠻力攻擊和(hé§× )應用(yòng)程序層攻擊，盡量造成最大(dà)程度的(de)破壞，并 ≈γ✔躲避檢測機(jī)制(zhì)。有(yǒu)些(xiē)DDoS攻擊利用(yòng)了(le)¶÷γ♥成千上(shàng)萬中招的(de)系統或Web服務，會(huì)給企業(yè)在成本和(hé)聲σ≥♣γ譽方面極其重大(dà)的(de)破壞，拒絕服務日(rì)益成為$∏(wèi)高(gāo)級針對(duì)性攻擊的(de)一(yī)↑↔部分(fēn)。好(hǎo)消息是(shì)，你(nǐ)可(kě)以使用(yòng)好(φ↔€hǎo)多(duō)工(gōng)具，盡量減小(xiǎo)這(zhè)種類型的(de)攻擊給客戶和¶₩(hé)收入造成的(de)影(yǐng)響。

想緩解DDoS，首先就(jiù)要(yào)确保你(nǐ)已定義 ↕∞→了(le)事(shì)件(jiàn)響應流'σ程，并且明(míng)确了(le)責任，這(zhè)就(jiù✘÷®)需要(yào)多(duō)個(gè)小(xiǎo)組通(tōng)力合作(zuò)。™☆♣‍DDoS防範規劃需要(yào)安全團隊與網絡操作""₩σ(zuò)人(rén)員(yuán)、服務器(qì)管理(lǐ)員(εσyuán)和(hé)桌面支持人(rén)員(yuán)以及法律顧問(wèn)和(hé)公↕' 關經理(lǐ)攜起手來(lái)。

一(yī)旦DDoS事(shì)件(jiàn)響應方案落實到(dào)位，你(α∞₽<nǐ)就(jiù)可(kě)以關注四大(dà)方面的(de)DDoS緩解控制(zhì)措•←施，盡量減小(xiǎo)DDoS攻擊給業(yè)務造成的(de≥ <)幹擾和(hé)破壞。在此按重要(yào)性順序排列：Ω‌Ω

•互聯網服務提供商(ISP)。大(dà)多(§λ∞duō)數(shù)ISP都(dōu)有(yǒu)“潔淨的(de)網絡管道(dào)”(Cl&∑ean Pipe)或DDoS緩解服務，收費₹✔(fèi)通(tōng)常要(yào)比标準的(de)¥ 帶寬成本高(gāo)一(yī)些(xiē)。基于ISP的(de)™"ε✘服務對(duì)許多(duō)中小(xiǎo)企業(yè)來(lái)說(shuō)很♠←∑(hěn)管用(yòng)，也(yě)符合預算(suàn)方面的(de)要(yào)求§φε。别忘了(le)一(yī)點：雲服務提供商和(hé)主機(jī'↑★)托管商也(yě)是(shì)ISP。

•DDoS緩解即服務提供商。如(rú)果你(nǐ)有(yǒu)多(duπβ®₩ō)家(jiā)ISP，第三方DDoS緩解即服務提供商也(yě)許是(shì)一(yī)種更明(m‍™↕<íng)智的(de)選擇，不(bù)過基•λ£δ于雲的(de)服務通(tōng)常成本更高(gāo)。如(r←‍γú)果改變DNS或BGP路(lù)由，讓攻擊流量通(☆₹tōng)過DDoS SaaS提供商來(lái)發送，你(nǐ)就(jiù)Ω♦β能(néng)過濾掉攻擊流量，無論哪家(jiā)ISP來(¥₽​lái)為(wèi)你(nǐ)處理(lǐ)₩×​±。

•專用(yòng)的(de)DDoS緩解設備。←←>€你(nǐ)可(kě)以在互聯網接入點部署DDoS緩解設備，以此保護服務器​♥∏(qì)和(hé)網絡。不(bù)過，蠻力攻擊可(kě)能(néng)仍會(huì₩ )耗盡你(nǐ)的(de)所有(yǒu)帶寬――即使服務器(qìβ∑↑ε)沒有(yǒu)崩潰，客戶們仍無法正常訪問(wèn)。

•基礎設施部件(jiàn)：比如(rú)負載均衡系統、路(lù)由器(qì)、交換機(jī)和(★¥♣$hé)防火(huǒ)牆。依賴貴企業(yè)的(≤&Ωde)操作(zuò)基礎設施來(lái)緩解DDoS攻擊是(shì)注定失敗的(de)策±γ"©略，隻能(néng)對(duì)付最軟弱無力的(de)攻擊。然而∏£>，這(zhè)些(xiē)部件(jiàn)‌§π∑在協同緩解DDoS方面卻能(néng)夠發揮作(zuò)用(yòng)。

大(dà)多(duō)數(shù)企業(yè)需要(yào)外(wài)部服務和¥↓>(hé)內(nèi)部DDoS緩解能(néng)力結合起≠ ₩來(lái)。對(duì)你(nǐ)員(yuán)工(gōng)的(d¥→÷e)技(jì)能(néng)水(shuǐ)平作(zuò)一(yī)個(g≤∞¥Ωè)切合實際的(de)評估――要(yào)是(shì)你(nǐ)手下(xià)有(yǒu)IT安全✔‍'人(rén)員(yuán)能(néng)↔ $'檢測并分(fēn)析威脅，先從(cóng)內(nèi)部D©&DoS緩解開(kāi)始入手，然後逐漸完善策略，加入外(wài)部服務。要(yào)是•® ✔(shì)你(nǐ)沒有(yǒu)足夠的(de)人(rén)手或者所需的(de‍σ←σ)技(jì)能(néng)組合，不(bù)≠ δ妨從(cóng)外(wài)部服務開(kāi)始入手，考慮将來(lái)添加托管CPE(用(yònλε ↓g)戶端設備)緩解能(néng)力。

無論你(nǐ)最後選擇了(le)哪種架構，每年( ∑nián)都(dōu)要(yào)至少(shǎo✘≈δ)測試兩次DDoS緩解控制(zhì)措施。如(rú)果你(nǐ)借助外(w✔ α ài)部服務提供商，就(jiù)要(yào)核對(Ω•↓duì)路(lù)由和(hé)DNS方面的(de)變化(huà)，确保流量會(h€€$uì)傳送到(dào)外(wài)部服務，不(bù)會(h↓∞uì)有(yǒu)重大(dà)幹擾――另±¶γ↕外(wài)還(hái)要(yào)确保能(né≥★☆≥ng)順利切回到(dào)直接路(lù)由。網絡配置和(hé)DNS路(lù)由在正常操作(∑ zuò)期間(jiān)常常變動――你(nǐ)要(yào)在實際¶↕&的(de)DDoS攻擊之前弄清楚這(zhè)一(yī)點。

防止DDoS攻擊

想防止DDoS攻擊，長(cháng)期的(de​•×)解決辦法就(jiù)是(shì)加強攻•>擊者用(yòng)來(lái)發動攻擊的(de)互聯網協議(yì)，并且要(yào)求"≈ 升級系統，以便得(de)益于最佳實踐。比如(rú)說(shuō)，許多(duō)DDoS攻擊之δε<所以能(néng)得(de)逞，就(jiù)是(shì)因為(wè​δ>i)攻擊者通(tōng)常借助上(shàng)當受≠Ω♦騙的(de)源IP地(dì)址來(lái)生(¶≥✔£shēng)成流量。IETF Best Common P÷≈∑<ractices文(wén)檔BCP 38建議(yì)：網絡操作(zuò)人(rén)¥♣♣δ員(yuán)應對(duì)從(cóng)下(xià)遊客戶進δ♥δ​入其網絡的(de)數(shù)據包進行(xíng)過濾，丢棄源地(dì)址不(bù)在其&π地(dì)址範圍內(nèi)的(de)任何數(shù)據包。這(zhè)★Ω樣可(kě)以讓黑(hēi)客無法發送聲稱來(lái↑ ∑)自(zì)另一(yī)個(gè)網絡的(de)數(shù)$≤據包(即欺詐攻擊)。不(bù)過，按BCP 38的(de)要(yào)求來(lái)做(zu♣ ò)需要(yào)一(yī)筆(bǐ)支出，卻沒有(yǒu)立竿見(jiàn)影(yǐn©←€g)的(de)效果，因而盡管有(yǒu)益于更廣ε←泛的(de)社區(qū)，卻沒有(yǒu)全面"β↓實施起來(lái)。

網絡管理(lǐ)員(yuán)們可(kě)以←σ€δ确保自(zì)己遵守其他(tā)最佳實踐，從(cóε×ng)而加強互聯網的(de)總體(tǐ)安全。比如(rú)說(sh€↓✔&uō)，他(tā)們應該熟悉國(guó)土(tǔ)£∏安全部頒布的(de)DDoS快(kuài)速指南(nán)(DDoS Qu<δ<©ick Guide)，還(hái)應該落實↔∑開(kāi)放(fàng)解析器(qì)項目(Open Resolver Projec<←t)等項目給予的(de)建議(yì)。開λ☆∑(kāi)放(fàng)解析器(qì)可(kě)以回複針對(duì)域外δ★​÷(wài)主機(jī)的(de)遞歸查詢，因而用(yòng)于DNS放(fàn∞≥g)大(dà)DDoS攻擊中。該項目已列出了(le)2800萬個(gè)構成重大(dà)威脅的(σ∞ ∏de)解析器(qì)，并提供了(le)詳細↓§指導，教人(rén)們如(rú)何配置DNS服務器(qì)，以減小(xiǎo)DNS✔®σ≥放(fàng)大(dà)攻擊的(de)威脅。

與往常一(yī)樣，若能(néng)确保已安裝了(le)軟件(jiàn)的(de)×&最新版本，系統不(bù)大(dà)容易受‍Ω到(dào)黑(hēi)客的(de)攻擊，黑(hēi)客經常企圖利用(yòn​δ™g)其資源作(zuò)為(wèi)DDoS攻擊的(de)一(yī)部分(fē↕∑n)。

雖然金(jīn)融機(jī)構等大(dàεφ)企業(yè)是(shì)某些(xiē)攻擊✔λ×☆者眼裡(lǐ)的(de)明(míng)顯目标，但(dàn)它們至少(shǎo)有(yǒu₹εα)财力和(hé)資源來(lái)采用(yòng)最新的(d≤>δ≠e)安全技(jì)術(shù)和(hé)最佳實踐。不(bù)過，資源有(yǒu©™)限的(de)小(xiǎo)企業(yè)仍然面臨可(kě)能(néng)很(hěn)強大(dà)的₹ (de)對(duì)手。這(zhè)也(yě)是(shì)谷歌(gē)啓動護盾項目↔•(Project Shield)的(de)原因之一(yī)：

好(hǎo)讓那(nà)些(xiē)運行("$αxíng)新聞、人(rén)權或選舉方面網站(zhàn)的(de)組織機(££♠jī)構可(kě)以通(tōng)過谷歌(gē)龐大(dà)的(de)DDoS緩解基礎設施來∑β(lái)發布其內(nèi)容。這(zhè)種類型的(de)計(jì)劃主要(yào©&¥)旨在确保潛在的(de)受害者有(yǒu)足夠的(de)資源↕$♣來(lái)抵禦攻擊，從(cóng)而消除DDoS攻擊的(de)影(yǐng)響。

全面共享DDoS緩解資源、實施行(xíng)業(yè)最佳實踐可(kě)能(néng)很(h €ěn)費(fèi)時(shí)間(jiān)和(h₹‍$≠é)資源，而且可(kě)能(néng)無法立即帶來(lái)回‌δσ報(bào)，但(dàn)是(shì)互聯網是(shì)個(gè)整♥$♦♣體(tǐ)性的(de)社區(qū)項目，打擊DDoS攻擊是(≠±π"shì)大(dà)家(jiā)共同的(de)責任。除非人(rén)©↕π人(rén)都(dōu)出一(yī)份力，否×♦則再多(duō)的(de)計(jì)劃也(yě)無法讓我們擺脫該死的(de)DDoS¥♠攻擊。