我們到底該如何抵御一場無情的分布式拒絕服務(wù)攻擊?下面就請結(jié)合實例，隨我們一同了解。

[[141044]]

2015年5月17日星期天，網(wǎng)絡(luò)犯罪分子向我所在的企業(yè)——HotSchedules公司，負(fù)責(zé)為來自餐廳、醫(yī)院以及零售行業(yè)的超過200萬員工提供云服務(wù)——發(fā)動了一場惡毒的分布式拒絕服務(wù)攻擊。從星期天夜間到星期二下午，這些惡意人士在長達(dá)45個小時內(nèi)阻撓著用戶正常檢查并管理自己的工作規(guī)劃——而且從未透露其攻擊動機(jī)。

雖然這對于每一位CEO來講都是一場令人難忘的噩夢，但對我個人而言這卻成了一次寶貴的經(jīng)驗并值得為公司的整場頑強(qiáng)對抗感到自豪。HotSchedules在過去16年當(dāng)中曾成功化解過多次網(wǎng)絡(luò)攻擊，且沒有經(jīng)歷過任何一次服務(wù)中斷。這次來襲的攻勢異常兇猛，相信我的經(jīng)歷幫助大家從中總結(jié)教訓(xùn)并獲得啟示。

由于好萊塢大片的錯誤引導(dǎo)，我們往往將網(wǎng)絡(luò)攻擊的對抗想象成是正義與邪惡兩方的黑客們各自坐在冷冰冰的屏幕前，利用散發(fā)出綠色熒光的代碼在互聯(lián)網(wǎng)當(dāng)中激烈過招。但在現(xiàn)實生活中，網(wǎng)絡(luò)安全對抗需要企業(yè)內(nèi)每一位員工的參與。如果大家正在經(jīng)驗一家企業(yè)，那么攻擊活動會考驗?zāi)钠髽I(yè)文化、團(tuán)隊協(xié)作以及集體使命感。團(tuán)隊要么找到辦法完成向客戶作出的業(yè)務(wù)承諾，要么眼睜睜看著業(yè)務(wù)體系陷入癱瘓。每一項網(wǎng)絡(luò)攻擊手段都擁有對應(yīng)的技術(shù)性解決方案，但員工的實際反應(yīng)才真正決定著企業(yè)的最終命運(yùn)——更具體地講，也就是客戶眼中的勝負(fù)關(guān)系。

人為因素

星期天傍晚，此次DDoS攻擊的消息正式傳開，HotSchedules公司的全體員工立刻沖進(jìn)自己的辦公室。沒有應(yīng)急部署，也沒有臨時方案。在這場對抗當(dāng)中，人們自發(fā)采取了主動態(tài)度，按照既定方式開始應(yīng)對。

對于任何一家企業(yè)而言，遇到攻擊活動之后的最高優(yōu)先級就是繼續(xù)為客戶提供服務(wù)。我們?nèi)匀荒軌蛟L問自己的數(shù)據(jù)庫，所以技術(shù)工程師們匯總出名單并將其轉(zhuǎn)交給我們的客戶服務(wù)團(tuán)隊。這時的客戶服務(wù)團(tuán)隊已經(jīng)在規(guī)模上得到擴(kuò)充，其中包括原有團(tuán)隊成員、客戶成功經(jīng)理、市場營銷人員、人力資源員工以及其他幾乎來自各個非技術(shù)部門的員工。他們將日程規(guī)劃下載下來并通過郵件將副本發(fā)送給客戶。在接下來的48個小時當(dāng)中，我們的團(tuán)隊一直通過電話、郵箱以及社交媒體不眠不休地為客戶提供幫助。當(dāng)客戶打進(jìn)電話時，我們能夠提供名單、時間表、崗位交換以及其它多種核心服務(wù)。

優(yōu)先級中的次要項目就是保持透明度。一旦我們了解到當(dāng)前事態(tài)，會立刻將情況匯報給客戶。我們的政策是“不搞暗箱操作，一切明面進(jìn)行”。這一原則是我從BTC Revolutions處學(xué)來的，這是一家數(shù)字化社交營銷及戰(zhàn)略規(guī)劃機(jī)構(gòu)，他們負(fù)責(zé)了我公司員工團(tuán)隊的培訓(xùn)工作。我們在自己的官方網(wǎng)站、Facebook、Twitter等平臺上發(fā)布聲明并更新實時動態(tài)，并在第二天早上直接向客戶打電話匯報情況，同時回答我們在網(wǎng)站及推文評論中收到的問題。

我們的團(tuán)隊不眠不休地工作了兩天，同時保持著令人難以置信的工作強(qiáng)度與效率水平。數(shù)據(jù)中心的地板成了臨時休息區(qū)，工程師們始終堅持在自己的崗位之上，只是偶爾到這里小憩一會兒。很多企業(yè)恐怕不具備如此出色的員工隊伍。歸根結(jié)底，這取決于我們雇用誰、如何培訓(xùn)他們以及如何幫助他們在工作當(dāng)中獲得認(rèn)同感與成就感。作為CEO，我對于自己的員工團(tuán)隊感到無比驕傲。

網(wǎng)絡(luò)戰(zhàn)爭

在每一位面向客戶的團(tuán)隊成員都在努力維持服務(wù)進(jìn)行并與客戶進(jìn)行交流的同時，我們的IT部門則集中力量解決網(wǎng)絡(luò)威脅。雖然沒有繼續(xù)數(shù)據(jù)遭遇泄露，但我們對這樣的惡意攻擊仍然缺乏必要準(zhǔn)備。

攻擊過程當(dāng)中，每秒數(shù)據(jù)傳輸流量達(dá)到了驚人的10至15 Gb每秒(即Gbps)——這相當(dāng)于我們正常傳輸速率的250倍。當(dāng)我打電話給從業(yè)銀行及電信工作的朋友需求幫助時，恐怖的數(shù)字令我們也呆立當(dāng)場。對于大多數(shù)商業(yè)企業(yè)來講，這樣的流量都遠(yuǎn)遠(yuǎn)超過預(yù)期。只有整個團(tuán)隊的成員在精心的編排之下通力協(xié)作，再配合極為昂貴的網(wǎng)絡(luò)資源投入，才有可能應(yīng)對得了這么龐大的流量壓力。

我們很難確切掌握攻擊活動是否會停止，又將在何時停止。無論我們怎樣輾轉(zhuǎn)騰挪，DDoS都如影隨形。當(dāng)時我們曾經(jīng)試圖將服務(wù)利用其它IP地址進(jìn)行發(fā)布，但犯罪分子很快就再次跟了上來。因此，我們做出了一個艱難的決定，即發(fā)布“黑洞”來舍棄一部分流量。這事實上傳達(dá)出了這樣的一種信息——“你已經(jīng)惹到我們了，我們絕不會讓你實現(xiàn)任何進(jìn)一步破壞。”

最后，勞累的安全工程師們在受保護(hù)子網(wǎng)上重新設(shè)計了整套服務(wù)，而相關(guān)保護(hù)則由Akamai公司的云安全解決方案提供——其流量承受上限高達(dá)321 Gbps。到5月19號星期二的凌晨2：37，我們的服務(wù)終于重新上線。

#p#

經(jīng)驗總結(jié)

聯(lián)邦調(diào)查局方面一直無法確定是誰組織了這次惡意攻擊，而且整個過程中我們也沒有收到任何贖金要求、聲明或者動機(jī)解釋。來自多個國家的成千上萬臺服務(wù)器都參與到了攻擊當(dāng)中，而且我們發(fā)現(xiàn)其中有六成左右來自海外地區(qū)。面對這樣撲朔迷離的狀況，我懷疑我們永遠(yuǎn)也抓不到這群犯罪分子。

考慮到有90%的企業(yè)遭受過DDoS攻擊，我想奮力抵抗是值得的——無論需要付出怎樣的代價。從云環(huán)境退縮回內(nèi)部設(shè)施，就像是為了避免事故而從汽車回退到馬匹那樣，簡直是荒謬?？紤]到內(nèi)部技術(shù)方案的高昂成本，餐飲行業(yè)當(dāng)然更傾向于使用價格低廉的云與移動計算產(chǎn)品。雖然剛剛遭受了攻擊，但我仍然號召整個行業(yè)以勇敢且積極的心態(tài)面對這一切。

此次DDoS攻擊是我從業(yè)以來帶來壓力最大的一次事故，但它卻也讓我積累到了寶貴的經(jīng)驗。在整個過程中，我們沒有丟失任何數(shù)據(jù)，并且仍然為客戶提供一定程度的服務(wù)支持。我還知道，公司的一組同事連續(xù)45個小時一直在幫助客戶解決問題。對于企業(yè)而言，這樣出色的員工顯然比任何技術(shù)成果都更加重要。

原文標(biāo)題：Inside A Vicious DDoS Attack