雖然DDoS（分布式拒絕服務(wù)攻擊）早已是黑客的重量級武器，但其性質(zhì)和影響卻是今非昔比了。它已經(jīng)成為眾多通過網(wǎng)絡(luò)從事業(yè)務(wù)的公司的重要威脅，它變得更強大、更具有針對性，也更加復(fù)雜，會嚴重的影響企業(yè)的信譽。而且，一些業(yè)余黑客也能夠發(fā)動該攻擊，或者利用僵尸網(wǎng)絡(luò)為其工作。

由于DDoS已經(jīng)發(fā)生了明顯的變化，傳統(tǒng)的DDoS減輕策略，如提供充足帶寬，防火墻，入侵防御系統(tǒng)等設(shè)備都無法充分保護企業(yè)網(wǎng)絡(luò)、應(yīng)用程序和服務(wù)。本文在充分總結(jié)世界知名企業(yè)挫敗DDoS攻擊和其它攻擊的基礎(chǔ)上，提出了可以幫助企業(yè)有效應(yīng)對DDoS攻擊，同時最小化其對企業(yè)運營影響的六大最佳方法。

DDoS的變化

為什么成千上萬的公司花費大量的人力物力苦苦維護和恢復(fù)其網(wǎng)絡(luò)服務(wù)，但每年仍有大量公司由于DDoS攻擊而喪失大量的金錢？下面這些變化使得DDoS攻擊更猖獗也更具有破壞性。

1、日益復(fù)雜的策略

臭名昭著的七月四日攻擊是由一種定制的僵尸發(fā)起并配合SYN、PING、GET洪水等來實施的。這些攻擊針對政府部門和私有企業(yè)。雖然這些攻擊的重量級并不高（每秒平均39兆字節(jié)），但它使用了200000個僵尸，這就極大地增強了其攻擊的影響和范圍。除了這種直接的洪水攻擊（此攻擊將大量的欺騙性數(shù)據(jù)包直接發(fā)送給受害者），攻擊者還在日益使用反射洪水攻擊。在反射洪水攻擊中，攻擊者使用遞歸DNS服務(wù)器來向受害者發(fā)動攻擊，并在攻擊過程中不斷地強化攻擊從而使得追蹤攻擊源更加困難。

2、針對性的與隨機的受害者

雖然過去的多數(shù)攻擊都是隨機的，但當今的攻擊常常專門對付一家企業(yè)或其一個部門或更小的一個部分。更糟的是，攻擊者往往會搞垮與其沒有直接矛盾的網(wǎng)站，其目的僅僅是為了擴大對第三方目標的影響。例如，分析師們相信，2009年針對Facebook的DDoS攻擊，其設(shè)計目的竟然是為了阻止該社交網(wǎng)站的某個用戶。而Facebook只不過是其一個間接的受害者。

3、偷偷地利用應(yīng)用程序的漏洞進行攻擊

網(wǎng)絡(luò)罪犯可以不必采用強力攻擊來搞垮整個網(wǎng)絡(luò)，而是執(zhí)行微妙的應(yīng)用程序級攻擊來模仿合法的通信。這些攻擊運行在一個應(yīng)用程序或應(yīng)用程序服務(wù)器活動的正常閾值范圍之內(nèi)，這就使得基于閾值的檢測工具難以檢測它。目前為止，受攻擊的主要應(yīng)用程序目標都是常用的軟件和網(wǎng)絡(luò)技術(shù)中的漏洞。然而，針對定制的應(yīng)用程序的攻擊也逞上升趨勢。

4、初級工具

即使擁有很少技術(shù)或技能的人也可以發(fā)動DDoS攻擊。在互聯(lián)網(wǎng)上很容易就可以找到低成本的僵局網(wǎng)絡(luò)租用廣告，一個網(wǎng)站提供的僵局網(wǎng)絡(luò)就可以發(fā)動10到100Gbps的攻擊，而其每天的花費卻不多。想成為攻擊者的人也可以與其他人合作，使用“群體外包”策略。例如，針對Twitter的“綠色革命”攻擊就采用了此策略。在這次攻擊中，Twitter用戶將鏈接粘貼到“攻擊池”（例如，高容量的頁面重載）中，由此可以招集反政府力量摧毀政府網(wǎng)站。雖然“群體外包”策略需要不斷地激勵很多人，并且難以維持，但這種攻擊起碼體現(xiàn)出：任何人都可以輕易地發(fā)動一次攻擊。

5、每秒發(fā)送數(shù)以百萬計的數(shù)據(jù)包

網(wǎng)絡(luò)犯罪份子可以利用成千上萬的“肉機”的處理能力和帶寬，形成能夠每秒發(fā)送數(shù)以百萬計的數(shù)據(jù)包的僵局網(wǎng)絡(luò)，這幾乎可以擊垮任何大型的網(wǎng)絡(luò)。這種攻擊的重量級要比十年前強大一百倍。

減輕DDoS攻擊面臨的挑戰(zhàn)

雖然許多企業(yè)日益關(guān)注DDoS攻擊，但很少有企業(yè)部署專門的DDoS保護機制。那些能夠暫時解決DDoS攻擊的企業(yè)往往依賴于不具備快速減輕攻擊能力和靈活性的方法。

盡管下面這些措施得到廣泛應(yīng)用，但對多數(shù)企業(yè)而言，只靠這些措施來抵擋當今變化多端的大型DDoS攻擊是遠遠不夠的。

1、過度配置帶寬

雖然提供過度的帶寬是最常見的對抗DDoS的措施之一，但事實上，這樣做既無成本效益也不高效可行。對于企業(yè)來說，提供高于其需要處理峰值負載的額外75%的帶寬是很少見的，而且一旦攻擊超過了所提供的帶寬數(shù)量，過度配置帶寬就無效了。此外，過度提供的帶寬僅能解決網(wǎng)絡(luò)級的攻擊，而不能應(yīng)對應(yīng)用程序級或操作系統(tǒng)級的攻擊。由于現(xiàn)代的攻擊每秒鐘能夠攜帶一百萬個數(shù)據(jù)包，即使配置再好的網(wǎng)絡(luò)也會被擊垮。

2、防火墻

雖然防火墻過去常用來對付DoS（拒絕服務(wù)攻擊），且完全夠用，但是僵尸網(wǎng)絡(luò)等攻擊手段降低了在網(wǎng)絡(luò)邊緣阻止攻擊的有效性。使用防火墻來減輕DDoS攻擊可能會導(dǎo)致CPU的利用達到峰值，并耗盡內(nèi)存資源。此外，防火墻并沒有異常檢測能力。

3、入侵檢測系統(tǒng)（IDS）

入侵檢測設(shè)備一般位于防火墻之后，其設(shè)計目的是為了檢測某種惡意的數(shù)據(jù)包。無論IDS還是IPS，其設(shè)計目的都不是為了應(yīng)對海量的攻擊。將其用于減輕DDoS攻擊會對其入侵檢測的本來功能產(chǎn)生影響。此外，在IDS檢測到異常而發(fā)出警告時，攻擊通信已經(jīng)在消耗互聯(lián)網(wǎng)帶寬，嚴重影響網(wǎng)絡(luò)功能，導(dǎo)致CPU的利用達到峰值，并耗盡內(nèi)存資源。

4、入侵防御系統(tǒng)（IPS）

入侵防御系統(tǒng)有能力作為一種異常檢測器而工作，不過，IPS可能需要花幾星期時間才能理解正常的通信模式，然后，企業(yè)或其IPS廠商必須再花幾天時間進行人工調(diào)整，指定應(yīng)當準許哪些通信，應(yīng)當阻止哪些通信或?qū)δ男┩ㄐ虐l(fā)出警告。所以，威脅簽名的更新往往來得太晚，無法阻止DDoS攻擊。此外，許多IPS設(shè)備依賴于特定廠商的威脅信息，所以這種設(shè)備并沒有得到調(diào)整和更新，無法解決全部威脅，其中就包括DDoS攻擊簽名。最后，IPS設(shè)備受到TCP會話數(shù)量的限制，還受到它在特定時間能夠處理的帶寬數(shù)量的限制。在負載超過其負荷時，它就會“宕機”。

5、路由器

路由器無法阻止欺騙性IP源（這正是DDoS攻擊包的最主要源頭），也無法人工追蹤成千上萬的IP地址，這就使得ACL（訪問控制列表）無法有效對付DDoS攻擊。

6、依賴互聯(lián)網(wǎng)服務(wù)供應(yīng)商來減輕DDoS攻擊

許多企業(yè)并不特別關(guān)注服務(wù)等級約定（SLA）、攻擊報告、帶寬能力、黑洞路由以及第三方DDoS減輕方案的其它細節(jié)，而是認為其ISP供應(yīng)商會提供DDoS保護。這種依賴是很危險的。#p#

減輕DDoS攻擊危害的六大最佳方法

成功減輕DDoS攻擊的基礎(chǔ)包括：知道監(jiān)視什么、全天候地監(jiān)視這些征兆、有技術(shù)和能力來確認和減輕DDoS攻擊，同時又允許合法的通信到達目的地，并擁有實時的正確解決問題的技能和經(jīng)驗。下面討論的最佳方法就反映了這些原則。

最佳方法一：實現(xiàn)數(shù)據(jù)收集集中化，并理解其趨勢

1、集中化監(jiān)視

運用集中化監(jiān)視功能，實現(xiàn)在一個位置就可以監(jiān)視整個網(wǎng)絡(luò)及通信模式；將通信的監(jiān)管限制由一個小團隊負責(zé)，以保持監(jiān)管的連續(xù)性。

2、理解正常網(wǎng)絡(luò)的通信模式

為建立進入企業(yè)的正常通信的基準，企業(yè)應(yīng)當定期收集來自交換機、路由器及其它設(shè)備的樣本數(shù)據(jù)包和其它有關(guān)信息。需要知道進入了哪些類型的通信（例如， SMTP、HTTP和HTTPS等）、何時進入（是每個星期三，還是每個月的第一天等）、從何處進入、進入了多少等。建立一個包含超過一年的正常通信模式的監(jiān)視地圖，并將此信息整合到一個用于威脅檢測、警告和報告的相關(guān)引擎中。

3、跟蹤全世界的DDoS歷史趨勢和威脅情報

對全球的攻擊模式進行持續(xù)的跟蹤和分析，快速驗證潛在的攻擊和新出現(xiàn)的攻擊，并將吸取的教訓(xùn)納入到適當?shù)氖录憫?yīng)中。使用現(xiàn)有的情報查找預(yù)定義的反常問題（即分析簽名）。使內(nèi)部的情報收集與第三方情報供應(yīng)商的情報相互補充，參與到業(yè)界的安全團體和論壇中，其中的信息共享有助于揭示異?；顒?。

4、實施專門的DDoS警告、日志、報告系統(tǒng)

確保所發(fā)出的警告能夠告知安全管理員DDoS攻擊的跡象，其中包括未必是基于攻擊數(shù)量的攻擊。實施一種日志和相關(guān)系統(tǒng)，收集可用于預(yù)防未來攻擊的詳細攻擊數(shù)據(jù)。實施一種明確的過程，用于收集并評估事務(wù)、通信的總體狀況、應(yīng)用程序、協(xié)議、事件的報告。記住，事務(wù)報告與通信報告一樣重要。例如，如果所預(yù)計的事務(wù)數(shù)量發(fā)生銳減，這比通信量的增加能更有力地表明可疑活動的存在。

5、與經(jīng)驗豐富的安全研究人員協(xié)同工作

如果企業(yè)并不知道怎樣處理數(shù)據(jù)，即使最好的監(jiān)視、檢測、警告、日志和報告設(shè)備也是無用的。安全研究人員應(yīng)當親身實踐，能夠區(qū)分可疑通信與合法通信，并隨著形勢的變化而改變應(yīng)對策略。

最佳方法二：定義一個明確的不斷升級的發(fā)展路線

系統(tǒng)化的程序和方法對于有效減輕DDoS攻擊是必不可少的。下面給出四大步驟：

1、定義一套標準的事件響應(yīng)操作程序

在制定操作程序時，要考慮內(nèi)部的基礎(chǔ)架構(gòu)、服務(wù)、應(yīng)用程序以及可能受到影響的客戶和合伙人資源。如果有必要，制定個別的標準化操作程序，以解決特定類型的攻擊或受到攻擊的特定資源。定期審查標準作業(yè)程序，并進行定期的“演習(xí)”，確保標準操作程序保持最新，并能正確發(fā)揮功能。

2、組建事件響應(yīng)團隊

不要等到發(fā)生攻擊事件的凌晨才開始決定應(yīng)當聯(lián)系哪些人。應(yīng)當準備、發(fā)布、經(jīng)常更新逐步升級的聯(lián)系人清單，其中包括用于內(nèi)部團隊、相關(guān)客戶、廠商、合伙人、上游供應(yīng)商（如應(yīng)用程序服務(wù)供應(yīng)商（ASP））的信息。如果你依賴一個互聯(lián)網(wǎng)供應(yīng)商（ISP）來減輕DDoS攻擊，除非貴公司是一家大型公司，否則，你的服務(wù)請求有可能與其它公司的請求一起在排隊等候。

3、解決不同職能部門的范圍問題

由于DDoS攻擊的防護與業(yè)務(wù)的連續(xù)性息息相關(guān)，因而它是一個全局性的目標。要確認職能部門和職責(zé)重疊的具體領(lǐng)域。必須打破不同部門（如網(wǎng)絡(luò)團隊和信息安全團隊）之間的壁壘，澄清事件響應(yīng)的角色和職責(zé)，并強化責(zé)任。

4、為“宕機時間（因故障而造成的停機時間）”做好準備

要理解哪些系統(tǒng)對于企業(yè)是生死攸關(guān)的，并且為網(wǎng)絡(luò)或服務(wù)的故障而制定和測試三個計劃：短期、中期、長期的連續(xù)性計劃。#p#

最佳方法三：使用分層過濾

減輕DDoS攻擊的目標，是用最小的延遲排除惡意的非法通信，僅允許合法的通信進入網(wǎng)絡(luò)。實現(xiàn)此目標最有效方法是，使用一種可以利用前文所述的所有方法的多層過濾驗證過程。

1、分層過濾通信

使用簽名分析、動態(tài)分析（根據(jù)對正常行為的監(jiān)視和分析）、反欺騙算法等技術(shù)來主動過濾網(wǎng)絡(luò)上游的有害通信。

2、在OSI堆棧的多層上都應(yīng)用過濾器

雖然通過在網(wǎng)絡(luò)層上實施過濾器就可以減少某些攻擊，但是當代的攻擊更復(fù)雜和深入，我們需要在包括應(yīng)用層的多層上都進行分析和過濾。

3、必要時可限制通信速率

為防止“低容忍”的資源發(fā)生癱瘓，根據(jù)帶寬的并發(fā)連接數(shù)量，可在必要時運用限制通信速率的能力。

4、能夠快速改變和定制過濾器

在必要時，能夠快速應(yīng)用和清除標準過濾器（即簽名），也可以根據(jù)網(wǎng)絡(luò)遭受的攻擊變化來生成定制的過濾器。

5、隨著時間的推移而強化規(guī)則集

分析境內(nèi)外的多種情報、監(jiān)視、警告和報告日志，然后使用這些信息來不斷地更新規(guī)則集。

最佳方法四：構(gòu)建可擴展性和靈活性

為確保在遭受攻擊的條件下，系統(tǒng)能夠正常發(fā)揮功能，企業(yè)必須擁有一個高擴展性的、靈活性的基礎(chǔ)架構(gòu)。

1、按需定制的能力

這種能力包括帶寬以及硬件處理能力，以及需要處理通信負載的可擴展性。充足的能力至關(guān)重要，但要想在一個企業(yè)內(nèi)部維持充足的能力卻非常困難，并且常常是不現(xiàn)實的。例如，提供過度的帶寬來吸收海量攻擊需要花費大量的金錢去購買額外的帶寬，甚至有可能還需要購買服務(wù)器。此外，在當今的環(huán)境中，過度配置帶寬也往往是不夠的，因為DDoS攻擊的規(guī)模正以驚人的速度增長，而企業(yè)網(wǎng)絡(luò)到互聯(lián)網(wǎng)連接的速率一般是1Gbps及其以下。

2、找到臨界點

要了解你的基礎(chǔ)在遭受攻擊的情況下是如何動作的。確定通信的特征，并確認哪些組件在面臨沉重負載時會首先垮掉。例如，知道在哪個時點上防火墻或Web服務(wù)器會發(fā)生故障，知道哪些數(shù)據(jù)包或查詢在某系統(tǒng)上所造成的后果比其它系統(tǒng)更嚴重。要在鏡像生產(chǎn)環(huán)境中測試各種情況，而不僅僅是預(yù)報，并在改變了基礎(chǔ)架構(gòu)的任何部分后重新進行測試。

3、對基礎(chǔ)架構(gòu)建立負載平衡

一旦確認了臨界點，下一步就應(yīng)當對基礎(chǔ)架構(gòu)建立負載平衡，其目標是優(yōu)化正常負載和峰值負載情況下的通信流。

4、考慮監(jiān)視工具的可擴展性

必須保證在高負載的情況下，監(jiān)視工具仍能繼續(xù)工作。在有些消耗帶寬的DDoS攻擊中，監(jiān)視往往名存實亡，甚至還會報告錯誤數(shù)據(jù)。例如，有些監(jiān)視工具只能報告相同的值，因為它無法報告更高級的東西。

5、增強硬件和軟件的多樣性

并不是要構(gòu)建多么復(fù)雜的IT環(huán)境，而是為了防御某些DDoS攻擊針對特定廠商硬件和軟件，因而不妨從多個廠商購買硬件和軟件工具。

6、利用分布式模式

如果可能，利用一種分布式模式來為高價值的應(yīng)用和服務(wù)構(gòu)建和維持冗余性。