盡管因特網(wǎng)安全技術(shù)在發(fā)展，高調(diào)的拒絕服務(wù)（denial-of-service，簡(jiǎn)稱DoS）攻擊還是不斷地干擾許多組織的運(yùn)轉(zhuǎn)。少數(shù)公司已經(jīng)準(zhǔn)備好應(yīng)付DoS攻擊，但是對(duì)于組織來說在DoS攻擊發(fā)生前進(jìn)行DoS攻擊響應(yīng)規(guī)劃至關(guān)重要。這些業(yè)務(wù)連續(xù)性規(guī)劃應(yīng)該不僅包括技術(shù)步驟。更為全面深入的DoS攻擊預(yù)防規(guī)劃必須判斷如何在特定的場(chǎng)景下繼續(xù)業(yè)務(wù)運(yùn)轉(zhuǎn)。在本文中，我們會(huì)援引最近發(fā)生的DoS攻擊事件來分析DoS威脅的廣度和深度，和如何同時(shí)從技術(shù)以及關(guān)鍵業(yè)務(wù)和通信策略出發(fā)來應(yīng)對(duì)DoS攻擊，這些能有助于更快和更經(jīng)濟(jì)地處理狀況。

DoS威脅的寬度和深度

在2000年發(fā)生著名的針對(duì)Yahoo、eBay、CNN和Amazon web站點(diǎn)Mafiaboy(黑手黨男孩) DDoS攻擊前，DoS攻擊已經(jīng)出現(xiàn)有一段時(shí)間了。然而自從那以后DoS攻擊的威脅發(fā)生了極大的變化。在Mafiaboy攻擊時(shí)期，大多數(shù)的工具要求某種程度的專業(yè)技能，但是更多現(xiàn)代的用JavaScript編寫的工具是在用戶的Web瀏覽器內(nèi)運(yùn)行，這使得事實(shí)上任何人都可能嘗試發(fā)起DoS攻擊。聲名狼藉的黑客團(tuán)體Anonymous在他們的DDoS攻擊中已經(jīng)使用了這些工具。這些攻擊工具一直是用于發(fā)起基礎(chǔ)的IP和應(yīng)用級(jí)別攻擊，造成企業(yè)的帶寬和處理能力被壓垮。

而且，當(dāng)攻擊者擁有許多攻擊節(jié)點(diǎn)、或者換句話說就是用于DDoS攻擊的僵尸網(wǎng)絡(luò)（botnet）時(shí)，DoS攻擊仍然是最為有效的方式。這是因?yàn)楹茈y阻斷大量的攻擊來源，并且對(duì)于單個(gè)攻擊系統(tǒng)來說要求的帶寬是低的，所以即使是網(wǎng)速很慢的系統(tǒng)也能被利用來攻擊。

DoS攻擊響應(yīng)準(zhǔn)備：業(yè)務(wù)規(guī)劃

公司對(duì)于DoS攻擊準(zhǔn)備的工作應(yīng)該包括通信、業(yè)務(wù)連續(xù)性規(guī)劃以及讓ISP參與進(jìn)來。如果企業(yè)的Web站點(diǎn)位于公司外的主機(jī)提供商，必須確保服務(wù)提供商擁有能力、工具和流程來及時(shí)地對(duì)DoS攻擊做出響應(yīng)。不管使用什么工具，服務(wù)提供商需要知道如何有效地使用該工具并且制定有效的流程。如果在DoS攻擊后沒有取消一些短期地將DoS攻擊影響最小化步驟，可能在復(fù)雜性上造成消極的長(zhǎng)期影響。

企業(yè)也應(yīng)該在它和服務(wù)提供商的合同條款中包括DoS攻擊響應(yīng)服務(wù)內(nèi)容，并且可能的話甚至增加應(yīng)該包括在服務(wù)品質(zhì)協(xié)議（service-level agreement，簡(jiǎn)稱SLA）中的響應(yīng)的詳細(xì)內(nèi)容。例如，確保SLA要求記載響應(yīng)時(shí)間是明智的，因?yàn)閷?duì)于企業(yè)的Web站點(diǎn)來說更短的宕機(jī)時(shí)間可能帶來更快的響應(yīng)時(shí)間。

當(dāng)協(xié)商合同內(nèi)容時(shí)，可能也要提前協(xié)商費(fèi)用以及額外的使用報(bào)價(jià)。提前做這些事情以防在事故期間服務(wù)提供商因?yàn)轭~外的服務(wù)索要離譜的費(fèi)用。以協(xié)商好的價(jià)格擁有SLA也能確保ISP或是主機(jī)提供服務(wù)商滿足可用性要求，例如企業(yè)Web 站點(diǎn)99.9%的正常運(yùn)作時(shí)間。

同樣，在規(guī)劃對(duì)DoS攻擊做出響應(yīng)時(shí)，企業(yè)的計(jì)算機(jī)安全事故響應(yīng)團(tuán)隊(duì)（computer security incident response team，簡(jiǎn)稱CSIRT）應(yīng)該建立與業(yè)務(wù)部門、包括在業(yè)務(wù)運(yùn)作方面主要決策者溝通的方法，以確保在事故期間告知重要的利益相關(guān)人并與其磋商。應(yīng)該認(rèn)定主要的決策者，并且賦予其在最壞情況下中斷因特網(wǎng)連接、或是僅是中斷部分因特網(wǎng)連接的權(quán)力。禁用因特網(wǎng)連接可能要求高層領(lǐng)導(dǎo)簽署決策，但是斷開單個(gè)網(wǎng)絡(luò)連接可由CSIRT團(tuán)隊(duì)決定。同相關(guān)內(nèi)部部門的溝通也應(yīng)該開放，包括市場(chǎng)或是公眾關(guān)系部門，以便這些部門能夠就該DoS攻擊事件和媒體交流。建立這些溝通渠道也能幫助認(rèn)定主要決策者，例如搞清楚如果需要的話誰能授權(quán)購(gòu)買新的DoS防范網(wǎng)絡(luò)設(shè)備來將攻擊的影響最小化。

DoS攻擊響應(yīng)準(zhǔn)備：技術(shù)響應(yīng)

對(duì)于包括DoS攻擊在內(nèi)的任何事故響應(yīng)情況來說，準(zhǔn)備工作對(duì)于快速地緩解該問題是關(guān)鍵的。準(zhǔn)備工作取決于攻擊類型，以及因特網(wǎng)主機(jī)位于何處。技術(shù)上的準(zhǔn)備工作能夠劃分為網(wǎng)絡(luò)和Web基礎(chǔ)設(shè)施部分，包括辨識(shí)、響應(yīng)和監(jiān)控。辨別DoS攻擊可能從簡(jiǎn)單的，如收到某個(gè)消費(fèi)者無法使用Web站點(diǎn)的通知，到更為復(fù)雜的，例如收到來自帶寬監(jiān)控工具的通知，報(bào)告WAN連接使用率過高。

一旦被告知可能發(fā)生的事故，要調(diào)查被攻擊的基礎(chǔ)設(shè)施來判斷最有效的響應(yīng)措施。通過觀察IDS、數(shù)據(jù)流、服務(wù)器日志、應(yīng)用日志或是其它網(wǎng)絡(luò)數(shù)據(jù)，并且查找高使用率模式來辨別被攻擊的特定服務(wù)器或是應(yīng)用。如果某個(gè)Web應(yīng)用被攻擊，響應(yīng)措施可能是將該Web站點(diǎn)遷移到另外的主機(jī)服務(wù)提供商、服務(wù)器或是網(wǎng)絡(luò)，或者是利用DoS防護(hù)工具來確保業(yè)務(wù)運(yùn)作的持續(xù)性。這些服務(wù)器或服務(wù)甚至可以遷移到云服務(wù)提供商或是內(nèi)容分發(fā)網(wǎng)絡(luò)上?？梢允褂帽O(jiān)控來判斷是否攻擊已經(jīng)停止、發(fā)生變化或是需要額外的措施。監(jiān)控手段可能僅是利用偵測(cè)工具并且創(chuàng)建當(dāng)滿足閾值條件時(shí)的告警，例如80%的連接利用率或是大量的UDP連接。你也可以聯(lián)系攻擊源頭的ISP來要求他們阻斷他們的顧客參與DDoS攻擊或是阻斷攻擊來源。你可以自己來阻斷攻擊來源，但是阻斷大量的攻擊計(jì)算機(jī)可能是困難的。一旦DoS攻擊減弱后，要么取消措施、或是將Web站點(diǎn)移回原來的主機(jī)上。要評(píng)估防護(hù)措施是否到位或者是應(yīng)該保持長(zhǎng)期的變更。

結(jié)論

DoS攻擊可以使業(yè)務(wù)癱瘓，但是提前準(zhǔn)備的話，對(duì)業(yè)務(wù)的干擾能夠降至最低。DoS攻擊的發(fā)展已經(jīng)使得阻斷它們和追溯所有的攻擊來源更加困難，但是新的方法可以將其影響最小化。要阻止此類攻擊不太可能，而有準(zhǔn)備工作保障持續(xù)地運(yùn)轉(zhuǎn)業(yè)務(wù)是可能的。但是準(zhǔn)備工作必須不僅包括公司內(nèi)部的技術(shù)措施，還應(yīng)該包括與外部服務(wù)提供商詳盡的溝通和規(guī)劃，由詳細(xì)的SLA提供的支持會(huì)防止發(fā)生事故時(shí)預(yù)料外的耽擱和費(fèi)用。