DDoS攻擊襲擊你的企業(yè)的可能性取決于你的企業(yè)經(jīng)營方式、攻擊者的突發(fā)奇想或者企業(yè)的競爭對手。緩解攻擊的最佳方法是確保您有足夠的能力，冗余站點，商業(yè)服務(wù)分離以及應(yīng)對攻擊的計劃。

雖然你不能阻止所有的DDoS攻擊，還是有辦法可以限制它們的攻擊效力，讓你的企業(yè)更快修復(fù)。大多數(shù)攻擊都是瞄準web應(yīng)用程序，他們只需簡單地向目標web應(yīng)用程序發(fā)送比其可以處理的更多的請求，讓它很難被訪問者使用。

在DDoS攻擊中，大多數(shù)攻擊中并不關(guān)心系統(tǒng)和應(yīng)用程序是否崩潰了，雖然他們會對崩潰感到高興，他們的主要目標是防止目標公司提供的服務(wù)響應(yīng)來自合法用戶的請求，為受害公司制造問題。

如果你有適當(dāng)?shù)谋O(jiān)控技術(shù)，那么就很容易發(fā)現(xiàn)DDoS攻擊。你的網(wǎng)絡(luò)操作中心(NOC)會顯示系統(tǒng)狀態(tài)：帶寬、每秒請求以及系統(tǒng)資源，如果突然或者在短時間內(nèi)，所有這些趨勢都上升，那么監(jiān)控系統(tǒng)就會發(fā)出警報。

在典型的企業(yè)中，這些事件將會促使NOC的升級，并且IT團隊也會趕緊招募適當(dāng)?shù)娜藖硖幚怼９芾韺右矔盏酵ㄖf網(wǎng)站和應(yīng)用程序不正常，所有人都會思考為什么突然請求出現(xiàn)激增。

第一步是分析這些請求的日志

你想要知道請求了什么以及請求的來源。對比新的請求和正常流量來判斷這些是否是合法負載。如果你的企業(yè)已經(jīng)將日志記錄集中化管理，那么事情就很好辦。但如果日志服務(wù)器跟不上，也超負載了，那么可能無法響應(yīng)你對日志的搜索。如果攻擊了你的應(yīng)用程序，被感染服務(wù)器的日志可能無法發(fā)送到日志系統(tǒng)。你將要從攻擊的開始傳輸了哪些數(shù)據(jù)進行分析。

第二步是解析這些日志以了解DDoS攻擊

獲取日志后，打開歸類工具和解析工具，獲取日志后，打開歸類工具和解析工具，首先，你需要確定DDoS攻擊是如何進行的。DDoS攻擊是否發(fā)送數(shù)據(jù)到遠程系統(tǒng)沒有打開的端口，從而消耗防火墻資源?是否反復(fù)請求特定的URL?或者是否只是簡單地發(fā)送Get / HTTP/1.1請求到web服務(wù)器?

通過企業(yè)監(jiān)控，可以確定負載應(yīng)用的位置。如果你的防火墻的負載很大，而web服務(wù)器沒有，則說明是第一種類型的攻擊。如果web服務(wù)器在處理請求方面速度很慢，防火墻在處理負載，比平時更高的資源利用率，那么web應(yīng)用程序應(yīng)該被直接攻擊了。

第三步是確定關(guān)鍵因素

知道DDoS攻擊媒介后，將需要配合日志信息以確定幾個關(guān)鍵因素。通過查看日志，你可以確定DDoS攻擊工具做了什么。無論請求發(fā)送給web應(yīng)用程序還是由防火墻處理，你尋找的數(shù)據(jù)是相同的。違反常規(guī)的請求。查看日志可以很清楚的看出DDoS攻擊的部分，因為會有很高數(shù)量的類似請求或者請求樣式組合在一起。例如，可能會有1萬個請求試圖訪問一個URL，或者可能有個端口失效。

在某些情況下，分布式工具可能會改變他們的要求。但是，一般情況下，你會看到對相同的資源的請求，來自相同的來源，組合在一起，例如對不存在的網(wǎng)址反復(fù)發(fā)送請求。確定DDoS攻擊使用的請求。如果在所有攻擊節(jié)點都是相同的，你將能夠找到攻擊者，區(qū)分合法流量。

你只要弄清楚了請求的樣式，你就能確定攻擊者。找到發(fā)送最高量和最快請求的攻擊節(jié)點，這些都是比較大的攻擊者。知道最常見的請求以及其來源后，你就可以開始行動了。筆者經(jīng)常聽到重命名被感染資源(例如URL或者主機名)的建議，但這樣只會導(dǎo)致攻擊者重構(gòu)他們的DDoS攻擊，或者攻擊新的資源。

這種策略只有當(dāng)攻擊者調(diào)用合法的web應(yīng)用程序URL(執(zhí)行一些資源密集型工作，例如大型數(shù)據(jù)庫查詢)才行得通。在這種情況下，修改應(yīng)用程序，執(zhí)行屏幕確認或者執(zhí)行攻擊者的工具無法理解的重定向(例如CAPTCHA或者具有用戶確認和重定向的Flash應(yīng)用程序)可以減小攻擊的影響。不幸的是，在大多數(shù)情況下，攻擊者只會改變他們的攻擊。

第四步是來源過濾、連接和速率限制

在嘗試過這些初始步驟后，下一步應(yīng)該是來源過濾、連接和速率限制。如果我們可以阻止最大的攻擊者并減慢其他攻擊者，那么我們就可以大大減小DDoS攻擊的影響。為了成功發(fā)動攻擊，攻擊者的節(jié)點必須超過我們的生產(chǎn)集群在給定時間內(nèi)所能夠處理的請求數(shù)量。如果我們能夠阻止一些攻擊節(jié)點，那么我們就可以減少系統(tǒng)的負載，讓我們有時間阻止更多攻擊，通知網(wǎng)絡(luò)供應(yīng)商，轉(zhuǎn)移服務(wù)等。

為了保護大部分基礎(chǔ)設(shè)施，最好盡可能的在靠近網(wǎng)絡(luò)邊緣的位置應(yīng)用過濾器。如果你可以說服網(wǎng)絡(luò)服務(wù)供應(yīng)或者數(shù)據(jù)中心在他們的設(shè)備部署過濾器，將更便于阻止DDoS攻擊。

如果你必須在你的設(shè)備上部署過濾器，或者你需要等待上游供應(yīng)商的響應(yīng)才能開始，那么則可以從邊緣設(shè)備開始，逐漸向后蔓延。使用所有合適的工具來過濾請求，減小對系統(tǒng)的影響。路由器、負載平衡器、IPS、web應(yīng)用程序防火墻，甚至系統(tǒng)本身都可以拒絕部分請求。

第一個過濾器應(yīng)該過濾來自發(fā)送最多請求的攻擊者的所有連接。向你的訪問控制列表(ACL)應(yīng)用此規(guī)則。當(dāng)然，邊緣設(shè)備不應(yīng)該接受發(fā)送到其接口的流量，并且不應(yīng)該響應(yīng)數(shù)據(jù)包。如果它們這樣做的話，將會成為攻擊者額外的攻擊目標。

第五步是根據(jù)來源來限制連接的速率

這能夠阻止來自超過連接限制的主機的任何新連接請求。查看日志，將速度限制設(shè)置為低于每個間隔發(fā)送請求的平均數(shù)量。如果你不確定那些日志條目是攻擊者，哪些是合法的，則可以使用最大請求發(fā)送者的請求速率作為出發(fā)點。因為最大發(fā)送者發(fā)送請求的速率肯定大于平均值。

此外，你還可以調(diào)整主機和邊緣設(shè)備以更快的速度來清除空閑會話以獲取更多資源。但是不能太過頭，以免花費太多資源來建立和拆除連接。通過阻止來源和限制速率，已經(jīng)能夠大大緩解DDoS攻擊的影響。如果攻擊者仍然繼續(xù)攻擊，看不到盡頭，IT團隊則應(yīng)該將重點轉(zhuǎn)移到保護其他企業(yè)資源上。

通常情況下，攻擊者會針對一個特定的主機，應(yīng)用程序或網(wǎng)絡(luò)。轉(zhuǎn)移這些資源的流量到另一個位置，或者阻止流量，將可以保存后端系統(tǒng)的負載，但是也會影響你的服務(wù)，這也正是攻擊者的目標。將受到攻擊的服務(wù)與其他服務(wù)進行分隔也是個好主意。如果能夠分離感染的服務(wù)的話，至少企業(yè)不會完全崩潰。

DDoS攻擊深深地影響著企業(yè)的正常運營，首席執(zhí)行官關(guān)心的是收入損失以及負面新聞;IT部門對崩潰的應(yīng)用程序和長時間加班感到煩惱。如果你通過互聯(lián)網(wǎng)提供服務(wù)，那么你就是一個潛在的DDoS攻擊目標。

【編輯推薦】

1. 黑客實施DDOS攻擊你了解多少？
2. 讓你的網(wǎng)站遠離DDOS攻擊器和CC攻擊器
3. 做足日常工作 防御DDoS攻擊方法分享
4. 應(yīng)用防火墻能否擊敗DDoS攻擊
5. 應(yīng)對DDOS攻擊需要“多管齊下”