雖然DDoS（分布式拒絕服務(wù)攻擊）早已是黑客的重量級(jí)武器，但其性質(zhì)和影響卻是今非昔比了。它已經(jīng)成為眾多通過(guò)網(wǎng)絡(luò)從事業(yè)務(wù)的公司的重要威脅，它變得更強(qiáng)大、更具有針對(duì)性，也更加復(fù)雜，會(huì)嚴(yán)重的影響企業(yè)的信譽(yù)。而且，一些業(yè)余黑客也能夠發(fā)動(dòng)該攻擊，或者利用僵尸網(wǎng)絡(luò)為其工作。

由于DDoS已經(jīng)發(fā)生了明顯的變化，傳統(tǒng)的DDoS減輕策略，如提供充足帶寬，防火墻，入侵防御系統(tǒng)等設(shè)備都無(wú)法充分保護(hù)企業(yè)網(wǎng)絡(luò)、應(yīng)用程序和服務(wù)。本文在充分總結(jié)世界知名企業(yè)挫敗DDoS攻擊和其它攻擊的基礎(chǔ)上，提出了可以幫助企業(yè)有效應(yīng)對(duì)DDoS攻擊，同時(shí)最小化其對(duì)企業(yè)運(yùn)營(yíng)影響的六大最佳方法。

DDoS的變化

為什么成千上萬(wàn)的公司花費(fèi)大量的人力物力苦苦維護(hù)和恢復(fù)其網(wǎng)絡(luò)服務(wù)，但每年仍有大量公司由于DDoS攻擊而喪失大量的金錢？下面這些變化使得DDoS攻擊更猖獗也更具有破壞性。

1、日益復(fù)雜的策略

臭名昭著的七月四日攻擊是由一種定制的僵尸發(fā)起并配合SYN、PING、GET洪水等來(lái)實(shí)施的。這些攻擊針對(duì)政府部門和私有企業(yè)。雖然這些攻擊的重量級(jí)并不高（每秒平均39兆字節(jié)），但它使用了200000個(gè)僵尸，這就極大地增強(qiáng)了其攻擊的影響和范圍。除了這種直接的洪水攻擊（此攻擊將大量的欺騙性數(shù)據(jù)包直接發(fā)送給受害者），攻擊者還在日益使用反射洪水攻擊。在反射洪水攻擊中，攻擊者使用遞歸DNS服務(wù)器來(lái)向受害者發(fā)動(dòng)攻擊，并在攻擊過(guò)程中不斷地強(qiáng)化攻擊從而使得追蹤攻擊源更加困難。

2、針對(duì)性的與隨機(jī)的受害者

雖然過(guò)去的多數(shù)攻擊都是隨機(jī)的，但當(dāng)今的攻擊常常專門對(duì)付一家企業(yè)或其一個(gè)部門或更小的一個(gè)部分。更糟的是，攻擊者往往會(huì)搞垮與其沒(méi)有直接矛盾的網(wǎng)站，其目的僅僅是為了擴(kuò)大對(duì)第三方目標(biāo)的影響。例如，分析師們相信，2009年針對(duì)Facebook的DDoS攻擊，其設(shè)計(jì)目的竟然是為了阻止該社交網(wǎng)站的某個(gè)用戶。而Facebook只不過(guò)是其一個(gè)間接的受害者。

3、偷偷地利用應(yīng)用程序的漏洞進(jìn)行攻擊

網(wǎng)絡(luò)罪犯可以不必采用強(qiáng)力攻擊來(lái)搞垮整個(gè)網(wǎng)絡(luò)，而是執(zhí)行微妙的應(yīng)用程序級(jí)攻擊來(lái)模仿合法的通信。這些攻擊運(yùn)行在一個(gè)應(yīng)用程序或應(yīng)用程序服務(wù)器活動(dòng)的正常閾值范圍之內(nèi)，這就使得基于閾值的檢測(cè)工具難以檢測(cè)它。目前為止，受攻擊的主要應(yīng)用程序目標(biāo)都是常用的軟件和網(wǎng)絡(luò)技術(shù)中的漏洞。然而，針對(duì)定制的應(yīng)用程序的攻擊也逞上升趨勢(shì)。

4、初級(jí)工具

即使擁有很少技術(shù)或技能的人也可以發(fā)動(dòng)DDoS攻擊。在互聯(lián)網(wǎng)上很容易就可以找到低成本的僵局網(wǎng)絡(luò)租用廣告，一個(gè)網(wǎng)站提供的僵局網(wǎng)絡(luò)就可以發(fā)動(dòng)10到100Gbps的攻擊，而其每天的花費(fèi)卻不多。想成為攻擊者的人也可以與其他人合作，使用“群體外包”策略。例如，針對(duì)Twitter的“綠色革命”攻擊就采用了此策略。在這次攻擊中，Twitter用戶將鏈接粘貼到“攻擊池”（例如，高容量的頁(yè)面重載）中，由此可以招集反政府力量摧毀政府網(wǎng)站。雖然“群體外包”策略需要不斷地激勵(lì)很多人，并且難以維持，但這種攻擊起碼體現(xiàn)出：任何人都可以輕易地發(fā)動(dòng)一次攻擊。

5、每秒發(fā)送數(shù)以百萬(wàn)計(jì)的數(shù)據(jù)包

網(wǎng)絡(luò)犯罪份子可以利用成千上萬(wàn)的“肉機(jī)”的處理能力和帶寬，形成能夠每秒發(fā)送數(shù)以百萬(wàn)計(jì)的數(shù)據(jù)包的僵局網(wǎng)絡(luò)，這幾乎可以擊垮任何大型的網(wǎng)絡(luò)。這種攻擊的重量級(jí)要比十年前強(qiáng)大一百倍。

減輕DDoS攻擊面臨的挑戰(zhàn)

雖然許多企業(yè)日益關(guān)注DDoS攻擊，但很少有企業(yè)部署專門的DDoS保護(hù)機(jī)制。那些能夠暫時(shí)解決DDoS攻擊的企業(yè)往往依賴于不具備快速減輕攻擊能力和靈活性的方法。

盡管下面這些措施得到廣泛應(yīng)用，但對(duì)多數(shù)企業(yè)而言，只靠這些措施來(lái)抵擋當(dāng)今變化多端的大型DDoS攻擊是遠(yuǎn)遠(yuǎn)不夠的。

1、過(guò)度配置帶寬

雖然提供過(guò)度的帶寬是最常見(jiàn)的對(duì)抗DDoS的措施之一，但事實(shí)上，這樣做既無(wú)成本效益也不高效可行。對(duì)于企業(yè)來(lái)說(shuō)，提供高于其需要處理峰值負(fù)載的額外75%的帶寬是很少見(jiàn)的，而且一旦攻擊超過(guò)了所提供的帶寬數(shù)量，過(guò)度配置帶寬就無(wú)效了。此外，過(guò)度提供的帶寬僅能解決網(wǎng)絡(luò)級(jí)的攻擊，而不能應(yīng)對(duì)應(yīng)用程序級(jí)或操作系統(tǒng)級(jí)的攻擊。由于現(xiàn)代的攻擊每秒鐘能夠攜帶一百萬(wàn)個(gè)數(shù)據(jù)包，即使配置再好的網(wǎng)絡(luò)也會(huì)被擊垮。

2、防火墻

雖然防火墻過(guò)去常用來(lái)對(duì)付DoS（拒絕服務(wù)攻擊），且完全夠用，但是僵尸網(wǎng)絡(luò)等攻擊手段降低了在網(wǎng)絡(luò)邊緣阻止攻擊的有效性。使用防火墻來(lái)減輕DDoS攻擊可能會(huì)導(dǎo)致CPU的利用達(dá)到峰值，并耗盡內(nèi)存資源。此外，防火墻并沒(méi)有異常檢測(cè)能力。

3、入侵檢測(cè)系統(tǒng)（IDS）

入侵檢測(cè)設(shè)備一般位于防火墻之后，其設(shè)計(jì)目的是為了檢測(cè)某種惡意的數(shù)據(jù)包。無(wú)論IDS還是IPS，其設(shè)計(jì)目的都不是為了應(yīng)對(duì)海量的攻擊。將其用于減輕DDoS攻擊會(huì)對(duì)其入侵檢測(cè)的本來(lái)功能產(chǎn)生影響。此外，在IDS檢測(cè)到異常而發(fā)出警告時(shí)，攻擊通信已經(jīng)在消耗互聯(lián)網(wǎng)帶寬，嚴(yán)重影響網(wǎng)絡(luò)功能，導(dǎo)致CPU的利用達(dá)到峰值，并耗盡內(nèi)存資源。

4、入侵防御系統(tǒng)（IPS）

入侵防御系統(tǒng)有能力作為一種異常檢測(cè)器而工作，不過(guò)，IPS可能需要花幾星期時(shí)間才能理解正常的通信模式，然后，企業(yè)或其IPS廠商必須再花幾天時(shí)間進(jìn)行人工調(diào)整，指定應(yīng)當(dāng)準(zhǔn)許哪些通信，應(yīng)當(dāng)阻止哪些通信或?qū)δ男┩ㄐ虐l(fā)出警告。所以，威脅簽名的更新往往來(lái)得太晚，無(wú)法阻止DDoS攻擊。此外，許多IPS設(shè)備依賴于特定廠商的威脅信息，所以這種設(shè)備并沒(méi)有得到調(diào)整和更新，無(wú)法解決全部威脅，其中就包括DDoS攻擊簽名。最后，IPS設(shè)備受到TCP會(huì)話數(shù)量的限制，還受到它在特定時(shí)間能夠處理的帶寬數(shù)量的限制。在負(fù)載超過(guò)其負(fù)荷時(shí)，它就會(huì)“宕機(jī)”。

5、路由器

路由器無(wú)法阻止欺騙性IP源（這正是DDoS攻擊包的最主要源頭），也無(wú)法人工追蹤成千上萬(wàn)的IP地址，這就使得ACL（訪問(wèn)控制列表）無(wú)法有效對(duì)付DDoS攻擊。

6、依賴互聯(lián)網(wǎng)服務(wù)供應(yīng)商來(lái)減輕DDoS攻擊

許多企業(yè)并不特別關(guān)注服務(wù)等級(jí)約定（SLA）、攻擊報(bào)告、帶寬能力、黑洞路由以及第三方DDoS減輕方案的其它細(xì)節(jié)，而是認(rèn)為其ISP供應(yīng)商會(huì)提供DDoS保護(hù)。這種依賴是很危險(xiǎn)的。#p#

減輕DDoS攻擊危害的六大最佳方法

成功減輕DDoS攻擊的基礎(chǔ)包括：知道監(jiān)視什么、全天候地監(jiān)視這些征兆、有技術(shù)和能力來(lái)確認(rèn)和減輕DDoS攻擊，同時(shí)又允許合法的通信到達(dá)目的地，并擁有實(shí)時(shí)的正確解決問(wèn)題的技能和經(jīng)驗(yàn)。下面討論的最佳方法就反映了這些原則。

最佳方法一：實(shí)現(xiàn)數(shù)據(jù)收集集中化，并理解其趨勢(shì)

1、集中化監(jiān)視

運(yùn)用集中化監(jiān)視功能，實(shí)現(xiàn)在一個(gè)位置就可以監(jiān)視整個(gè)網(wǎng)絡(luò)及通信模式；將通信的監(jiān)管限制由一個(gè)小團(tuán)隊(duì)負(fù)責(zé)，以保持監(jiān)管的連續(xù)性。

2、理解正常網(wǎng)絡(luò)的通信模式

為建立進(jìn)入企業(yè)的正常通信的基準(zhǔn)，企業(yè)應(yīng)當(dāng)定期收集來(lái)自交換機(jī)、路由器及其它設(shè)備的樣本數(shù)據(jù)包和其它有關(guān)信息。需要知道進(jìn)入了哪些類型的通信（例如， SMTP、HTTP和HTTPS等）、何時(shí)進(jìn)入（是每個(gè)星期三，還是每個(gè)月的第一天等）、從何處進(jìn)入、進(jìn)入了多少等。建立一個(gè)包含超過(guò)一年的正常通信模式的監(jiān)視地圖，并將此信息整合到一個(gè)用于威脅檢測(cè)、警告和報(bào)告的相關(guān)引擎中。

3、跟蹤全世界的DDoS歷史趨勢(shì)和威脅情報(bào)

對(duì)全球的攻擊模式進(jìn)行持續(xù)的跟蹤和分析，快速驗(yàn)證潛在的攻擊和新出現(xiàn)的攻擊，并將吸取的教訓(xùn)納入到適當(dāng)?shù)氖录憫?yīng)中。使用現(xiàn)有的情報(bào)查找預(yù)定義的反常問(wèn)題（即分析簽名）。使內(nèi)部的情報(bào)收集與第三方情報(bào)供應(yīng)商的情報(bào)相互補(bǔ)充，參與到業(yè)界的安全團(tuán)體和論壇中，其中的信息共享有助于揭示異?；顒?dòng)。

4、實(shí)施專門的DDoS警告、日志、報(bào)告系統(tǒng)

確保所發(fā)出的警告能夠告知安全管理員DDoS攻擊的跡象，其中包括未必是基于攻擊數(shù)量的攻擊。實(shí)施一種日志和相關(guān)系統(tǒng)，收集可用于預(yù)防未來(lái)攻擊的詳細(xì)攻擊數(shù)據(jù)。實(shí)施一種明確的過(guò)程，用于收集并評(píng)估事務(wù)、通信的總體狀況、應(yīng)用程序、協(xié)議、事件的報(bào)告。記住，事務(wù)報(bào)告與通信報(bào)告一樣重要。例如，如果所預(yù)計(jì)的事務(wù)數(shù)量發(fā)生銳減，這比通信量的增加能更有力地表明可疑活動(dòng)的存在。

5、與經(jīng)驗(yàn)豐富的安全研究人員協(xié)同工作

如果企業(yè)并不知道怎樣處理數(shù)據(jù)，即使最好的監(jiān)視、檢測(cè)、警告、日志和報(bào)告設(shè)備也是無(wú)用的。安全研究人員應(yīng)當(dāng)親身實(shí)踐，能夠區(qū)分可疑通信與合法通信，并隨著形勢(shì)的變化而改變應(yīng)對(duì)策略。

最佳方法二：定義一個(gè)明確的不斷升級(jí)的發(fā)展路線

系統(tǒng)化的程序和方法對(duì)于有效減輕DDoS攻擊是必不可少的。下面給出四大步驟：

1、定義一套標(biāo)準(zhǔn)的事件響應(yīng)操作程序

在制定操作程序時(shí)，要考慮內(nèi)部的基礎(chǔ)架構(gòu)、服務(wù)、應(yīng)用程序以及可能受到影響的客戶和合伙人資源。如果有必要，制定個(gè)別的標(biāo)準(zhǔn)化操作程序，以解決特定類型的攻擊或受到攻擊的特定資源。定期審查標(biāo)準(zhǔn)作業(yè)程序，并進(jìn)行定期的“演習(xí)”，確保標(biāo)準(zhǔn)操作程序保持最新，并能正確發(fā)揮功能。

2、組建事件響應(yīng)團(tuán)隊(duì)

不要等到發(fā)生攻擊事件的凌晨才開(kāi)始決定應(yīng)當(dāng)聯(lián)系哪些人。應(yīng)當(dāng)準(zhǔn)備、發(fā)布、經(jīng)常更新逐步升級(jí)的聯(lián)系人清單，其中包括用于內(nèi)部團(tuán)隊(duì)、相關(guān)客戶、廠商、合伙人、上游供應(yīng)商（如應(yīng)用程序服務(wù)供應(yīng)商（ASP））的信息。如果你依賴一個(gè)互聯(lián)網(wǎng)供應(yīng)商（ISP）來(lái)減輕DDoS攻擊，除非貴公司是一家大型公司，否則，你的服務(wù)請(qǐng)求有可能與其它公司的請(qǐng)求一起在排隊(duì)等候。

3、解決不同職能部門的范圍問(wèn)題

由于DDoS攻擊的防護(hù)與業(yè)務(wù)的連續(xù)性息息相關(guān)，因而它是一個(gè)全局性的目標(biāo)。要確認(rèn)職能部門和職責(zé)重疊的具體領(lǐng)域。必須打破不同部門（如網(wǎng)絡(luò)團(tuán)隊(duì)和信息安全團(tuán)隊(duì)）之間的壁壘，澄清事件響應(yīng)的角色和職責(zé)，并強(qiáng)化責(zé)任。

4、為“宕機(jī)時(shí)間（因故障而造成的停機(jī)時(shí)間）”做好準(zhǔn)備

要理解哪些系統(tǒng)對(duì)于企業(yè)是生死攸關(guān)的，并且為網(wǎng)絡(luò)或服務(wù)的故障而制定和測(cè)試三個(gè)計(jì)劃：短期、中期、長(zhǎng)期的連續(xù)性計(jì)劃。#p#

最佳方法三：使用分層過(guò)濾

減輕DDoS攻擊的目標(biāo)，是用最小的延遲排除惡意的非法通信，僅允許合法的通信進(jìn)入網(wǎng)絡(luò)。實(shí)現(xiàn)此目標(biāo)最有效方法是，使用一種可以利用前文所述的所有方法的多層過(guò)濾驗(yàn)證過(guò)程。

1、分層過(guò)濾通信

使用簽名分析、動(dòng)態(tài)分析（根據(jù)對(duì)正常行為的監(jiān)視和分析）、反欺騙算法等技術(shù)來(lái)主動(dòng)過(guò)濾網(wǎng)絡(luò)上游的有害通信。

2、在OSI堆棧的多層上都應(yīng)用過(guò)濾器

雖然通過(guò)在網(wǎng)絡(luò)層上實(shí)施過(guò)濾器就可以減少某些攻擊，但是當(dāng)代的攻擊更復(fù)雜和深入，我們需要在包括應(yīng)用層的多層上都進(jìn)行分析和過(guò)濾。

3、必要時(shí)可限制通信速率

為防止“低容忍”的資源發(fā)生癱瘓，根據(jù)帶寬的并發(fā)連接數(shù)量，可在必要時(shí)運(yùn)用限制通信速率的能力。

4、能夠快速改變和定制過(guò)濾器

在必要時(shí)，能夠快速應(yīng)用和清除標(biāo)準(zhǔn)過(guò)濾器（即簽名），也可以根據(jù)網(wǎng)絡(luò)遭受的攻擊變化來(lái)生成定制的過(guò)濾器。

5、隨著時(shí)間的推移而強(qiáng)化規(guī)則集

分析境內(nèi)外的多種情報(bào)、監(jiān)視、警告和報(bào)告日志，然后使用這些信息來(lái)不斷地更新規(guī)則集。

最佳方法四：構(gòu)建可擴(kuò)展性和靈活性

為確保在遭受攻擊的條件下，系統(tǒng)能夠正常發(fā)揮功能，企業(yè)必須擁有一個(gè)高擴(kuò)展性的、靈活性的基礎(chǔ)架構(gòu)。

1、按需定制的能力

這種能力包括帶寬以及硬件處理能力，以及需要處理通信負(fù)載的可擴(kuò)展性。充足的能力至關(guān)重要，但要想在一個(gè)企業(yè)內(nèi)部維持充足的能力卻非常困難，并且常常是不現(xiàn)實(shí)的。例如，提供過(guò)度的帶寬來(lái)吸收海量攻擊需要花費(fèi)大量的金錢去購(gòu)買額外的帶寬，甚至有可能還需要購(gòu)買服務(wù)器。此外，在當(dāng)今的環(huán)境中，過(guò)度配置帶寬也往往是不夠的，因?yàn)镈DoS攻擊的規(guī)模正以驚人的速度增長(zhǎng)，而企業(yè)網(wǎng)絡(luò)到互聯(lián)網(wǎng)連接的速率一般是1Gbps及其以下。

2、找到臨界點(diǎn)

要了解你的基礎(chǔ)在遭受攻擊的情況下是如何動(dòng)作的。確定通信的特征，并確認(rèn)哪些組件在面臨沉重負(fù)載時(shí)會(huì)首先垮掉。例如，知道在哪個(gè)時(shí)點(diǎn)上防火墻或Web服務(wù)器會(huì)發(fā)生故障，知道哪些數(shù)據(jù)包或查詢?cè)谀诚到y(tǒng)上所造成的后果比其它系統(tǒng)更嚴(yán)重。要在鏡像生產(chǎn)環(huán)境中測(cè)試各種情況，而不僅僅是預(yù)報(bào)，并在改變了基礎(chǔ)架構(gòu)的任何部分后重新進(jìn)行測(cè)試。

3、對(duì)基礎(chǔ)架構(gòu)建立負(fù)載平衡

一旦確認(rèn)了臨界點(diǎn)，下一步就應(yīng)當(dāng)對(duì)基礎(chǔ)架構(gòu)建立負(fù)載平衡，其目標(biāo)是優(yōu)化正常負(fù)載和峰值負(fù)載情況下的通信流。

4、考慮監(jiān)視工具的可擴(kuò)展性

必須保證在高負(fù)載的情況下，監(jiān)視工具仍能繼續(xù)工作。在有些消耗帶寬的DDoS攻擊中，監(jiān)視往往名存實(shí)亡，甚至還會(huì)報(bào)告錯(cuò)誤數(shù)據(jù)。例如，有些監(jiān)視工具只能報(bào)告相同的值，因?yàn)樗鼰o(wú)法報(bào)告更高級(jí)的東西。

5、增強(qiáng)硬件和軟件的多樣性

并不是要構(gòu)建多么復(fù)雜的IT環(huán)境，而是為了防御某些DDoS攻擊針對(duì)特定廠商硬件和軟件，因而不妨從多個(gè)廠商購(gòu)買硬件和軟件工具。

6、利用分布式模式

如果可能，利用一種分布式模式來(lái)為高價(jià)值的應(yīng)用和服務(wù)構(gòu)建和維持冗余性。