從去年初以來，國際金融機構(gòu)便接二連三被分布式拒絕服務(wù)攻擊(DDoS)糾纏不休，其中多次攻擊都是由一個名為卡桑網(wǎng)絡(luò)戰(zhàn)士(QCF)的組織所發(fā)動，其最顯著的一次是今年年初針對美國金融機構(gòu)、代號為“燕子行動”(Operation Ababil)的攻擊，最近該組織更在Pastebin 發(fā)表每周更新，重申其發(fā)動“燕子行動”的動機及總結(jié)其帶來的影響。

除了QCF，不少黑客團體也在摩拳擦掌策動DDoS攻擊，其目標(biāo)往往是金融服務(wù)機構(gòu)，集中攻擊其網(wǎng)站表格與內(nèi)容。此外，更有些DDoS攻擊變成“進階”的多向量版本，把DDoS與賬戶竄改及詐騙手法結(jié)合，帶來更大的殺傷力。

以上例子表明，在過去的一年半，DDoS黑客活動的頻率與手法不斷提高，近期的個案顯示不同規(guī)模的銀行正面臨不同形式的DDoS攻擊，這包括傳統(tǒng)SYN 攻擊、DNS泛洪攻擊、DNS放大攻擊，以及針對應(yīng)用層和內(nèi)容的攻擊。而針對SSL加密網(wǎng)頁資源和內(nèi)容的拒絕服務(wù)(DoS)攻擊更是變本加厲。在一些情況下，黑客會采用一種混合形式的攻擊，用難以阻止的應(yīng)用層方法，結(jié)合“低成本”、大批量，但可用簡單的手段進行過濾及阻擋的攻擊。

為了應(yīng)對此等級別的惡意活動，首席信息官、首席信息安全官，以及他們的團隊需要部署一個全盤抗擊方案，采用一套全面的防御工具，結(jié)合公司內(nèi)部署的安全技術(shù)和基于云端的清洗服務(wù)。此外，他們也需考慮執(zhí)行情報收集和發(fā)布工作，支持一套全面的DoS緩解策略。

Check Point 軟件技術(shù)有限公司建議金融機構(gòu)在制訂抗擊DDoS 策略時應(yīng)考慮下列數(shù)點：

采用數(shù)據(jù)清洗服務(wù)或類似的清洗供應(yīng)商來應(yīng)對大批量耗盡攻擊

達(dá)到80 Gbps的DDoS攻擊已經(jīng)不稀奇，個別案例甚至高達(dá)300 Gbps。只有極少的組織機構(gòu)可以有帶寬來應(yīng)付這種規(guī)模的攻擊。當(dāng)面對如此大規(guī)模的DDoS攻擊，企業(yè)應(yīng)首先考慮通過基于云的清洗供應(yīng)商來管理其網(wǎng)絡(luò)流量，協(xié)助除掉數(shù)據(jù)流中的惡意數(shù)據(jù)包。此等供應(yīng)商擁有所需的工具及足夠的帶寬，所以可以作為抗擊大批量耗盡攻擊的第一道防線，使DDoS攻擊止步于云端，而常規(guī)業(yè)務(wù)數(shù)據(jù)流則能順利通過網(wǎng)絡(luò)。

使用專門的DDoS攻擊防御設(shè)備，對攻擊進行識別、隔離與修復(fù)

有鑒于DoS攻擊日趨復(fù)雜，同時結(jié)合大批量和應(yīng)用的攻擊，企業(yè)需要采用一個綜合多種抗擊手法的方針。要有效抵御結(jié)合應(yīng)用及“低而慢”攻擊的多向量攻擊，必需充分利用在公司部署的專用防御設(shè)備，防火墻和入侵防御系統(tǒng)在緩解DDoS攻擊方面至關(guān)重要，DDoS安全防御設(shè)備構(gòu)建一個額外的保護層，通過專用技術(shù)對DoS活動進行實時鑒別并阻截。管理員還可以通過設(shè)置此等公司內(nèi)部安全方案，與云清洗服務(wù)供應(yīng)商溝通，在遭受攻擊時可自動地把攻擊路由出去。

企業(yè)需要調(diào)整防火墻以處理大量的連接率

在遭受DDoS攻擊時，防火墻將是關(guān)鍵的網(wǎng)絡(luò)設(shè)備。管理員應(yīng)該調(diào)整其防火墻設(shè)置，以識別和處理大批量耗盡和應(yīng)用層攻擊。此外，視乎防火墻的性能，有些保護功能可激活以阻止DDoS攻擊數(shù)據(jù)包，在攻擊過程中提高防火墻的性能。

制定一套保護應(yīng)用的方法及策略，抵御DDoS攻擊

安全技術(shù)可以有效抵御DDoS攻擊，但是管理員也需要考慮調(diào)整Web服務(wù)器，修改自身負(fù)載均衡及內(nèi)容分發(fā)策略，確保系統(tǒng)取得最佳的正常運作時間。此外，也可以考慮配置抵御多種登陸的攻擊。另外一個防御機器策動、自動進行攻擊的方法是在網(wǎng)頁中增設(shè)服務(wù)細(xì)節(jié)選擇，例如頁面詢問瀏覽者是否有興趣取得低息率或新產(chǎn)品信息，用戶需按下“接受”或者“不用，謝謝”按鍵后，方可繼續(xù)進入后續(xù)頁面。

此外，內(nèi)容分析十分重要，這可以簡便地確保沒有大量PDF文件堵塞價值重大的主機服務(wù)器。

以上都是有些執(zhí)行DDoS緩解策略的重要手段。企業(yè)必須與服務(wù)提供商及互聯(lián)網(wǎng)服務(wù)提供商(ISPs)攜手合作。ISP必須參與并支持此等抗擊策略，因為DDoS攻擊與銀行等金融機構(gòu)使用相同的網(wǎng)絡(luò)，而ISP則支持這兩種數(shù)據(jù)流。

情報收集和分發(fā)對抵御DDoS的重要性也日益增加，這需要調(diào)查公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，以及在金融服務(wù)業(yè)其它公司的網(wǎng)絡(luò)中的數(shù)據(jù)。

了解黑客身份、其攻擊動機和手法等信息可以幫助管理人員準(zhǔn)確預(yù)測并防范攻擊。分辨DDoS攻擊可以是根據(jù)協(xié)議(SYN、DNS、HTTP)、攻擊數(shù)據(jù)包的來源，策動和控制攻擊的網(wǎng)絡(luò)、攻擊在一天內(nèi)的啟動和結(jié)束時間等。目前，此等信息共享只限于業(yè)界友好間，正確的發(fā)展方向是構(gòu)建自動化系統(tǒng)，不同機構(gòu)可以登錄一個方案，通過研究有關(guān)聯(lián)的原始日志信息，掌握進行中或已結(jié)束攻擊的蛛絲馬跡，此等系統(tǒng)也可以用作分享攻擊情報及分發(fā)相關(guān)保護。