Protonmail公司聯(lián)合創(chuàng)始人Andy Yen表示，攻擊負(fù)載大得出奇。高峰時期，那次攻擊向他公司不斷發(fā)送大量持續(xù)的垃圾數(shù)據(jù)。大規(guī)模的分布式拒絕服務(wù)(DDoS)攻擊揚(yáng)言要搞垮歐洲原子核研究組織(CERN)支持的這家小型電子郵件加密服務(wù)公司。

[[156430]]

Yen說：“我們的情緒非常低落。我們是家只有15名員工的初創(chuàng)公司，只想做點(diǎn)正當(dāng)生意，卻要面對設(shè)法搞垮了一家互聯(lián)網(wǎng)服務(wù)提供商(ISP)的可怕敵人。我們的工作團(tuán)隊還應(yīng)該設(shè)法抵御瑞士遇到過的規(guī)模最大的網(wǎng)絡(luò)攻擊，我們當(dāng)中沒有一個人是網(wǎng)絡(luò)專家。”

Cloudfare的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Matthew Prince說到DDoS攻擊引起的破壞時說：“遭到攻擊后，客戶常常很憤怒，覺得自己受到了侵犯。DDoS攻擊并不是什么高明的攻擊。它實際上就相當(dāng)于手拿棍棒的穴居人。不過手持棍棒的穴居人也能大搞破壞。”

與Yen的公司一樣，大多數(shù)初創(chuàng)公司和小企業(yè)只有小規(guī)模團(tuán)隊和很少資源來對付DDoS攻擊。顧名思義，DDoS對某家公司的主機(jī)托管和網(wǎng)站服務(wù)發(fā)送大量的數(shù)據(jù)，從而阻止用戶訪問網(wǎng)站和服務(wù)。Prince表示，有些攻擊每秒發(fā)送的數(shù)據(jù)量超過1 TB。他說：“其數(shù)據(jù)量相當(dāng)于典型家庭帶寬連接的10萬倍，就針對一個目標(biāo)。”

拒絕服務(wù)攻擊有多常見?來自Google Ideas和Arbor Networks共同制作的ATLAS威脅報告的數(shù)據(jù)發(fā)現(xiàn)，每天發(fā)生的拒絕服務(wù)攻擊數(shù)量超過2000起。據(jù)Incapsula早在2014年開展的一項調(diào)查發(fā)現(xiàn)，拒絕服務(wù)攻擊讓商業(yè)界每小時蒙受的損失在5000美元至40000美元之間。該報告表示，所有攻擊當(dāng)中近一半的持續(xù)時間在6小時至24小時，每起事件導(dǎo)致的損失超過50萬美元。

攻擊者可能是勒索者、競爭對手、黑客活動分子，或者欺騙成性的破壞分子。要是公司或企業(yè)組織缺少專家網(wǎng)絡(luò)專家或雄厚財力，又該如何應(yīng)對網(wǎng)絡(luò)勒索和大規(guī)模拒絕服務(wù)攻擊帶來的威脅呢?下面是你可以采取的四個做法。

1. 做好準(zhǔn)備。

Rapid7公司的安全研究經(jīng)理Tod Beardsley表示，所有中小企業(yè)應(yīng)該防備拒絕服務(wù)攻擊，要準(zhǔn)備好災(zāi)難響應(yīng)計劃。最佳實踐包括：確定小組中哪些重要成員負(fù)責(zé)響應(yīng)。明確團(tuán)隊角色、任務(wù)和要求。Beardsley表示，然后，“在緊急事件發(fā)生之前經(jīng)常演練，那樣萬一發(fā)生不可避免的事情，每個相關(guān)人員都知道該如何是好。”

公司和企業(yè)組織應(yīng)該與內(nèi)部的IT和公關(guān)團(tuán)隊、主機(jī)托管提供商和ISP合作，共同確認(rèn)易受攻擊的故障點(diǎn)、技術(shù)漏洞及逃生路線，并且明確如何向客戶和新聞媒體通報受到的損害和服務(wù)中斷。

2. 了解攻擊。

導(dǎo)致你網(wǎng)絡(luò)癱瘓的到底是職業(yè)團(tuán)伙還是業(yè)余黑客?一些備受考驗的服務(wù)商提供各種各樣的DDoS預(yù)防軟件，比如Akamai、Imperva Incapsula和Cloudflare。大多數(shù)這些工具運(yùn)行復(fù)雜的算法，可以識別不同類型的流量。DDoS工具試圖嗅出、檢測并過濾各種類型的惡意和良性的機(jī)器人程序，允許合法流量進(jìn)出。

常常很難從單單一起事件中辨別攻擊是“專業(yè)人士、腳本小子還是租賃DDoS服務(wù)的憤怒學(xué)生所為。”Imperva Incapsula的營銷副總裁Tim Matthews說。他特別指出，基本上可以說，流量超過50 Gbps或更多的網(wǎng)絡(luò)攻擊極可能是專業(yè)人士所為。

一些最常見的攻擊工具常常打著“網(wǎng)絡(luò)安全工具”的幌子擴(kuò)散開來，它們名為booter或壓力源(stressor)。顧名思義，這類工具會放大并專注DDoS有效載荷：潮水般的Web機(jī)器人程序和雜亂的網(wǎng)絡(luò)流量。

Matthews說：“我們確實密切跟蹤已知的僵尸網(wǎng)絡(luò)，所以就算我們不知道實施攻擊的犯罪分子是誰，至少也知道使用什么樣的武器。僵尸網(wǎng)絡(luò)運(yùn)營者就好比是軍火商。他們向有錢或持相同世界觀的所有人兜售工具。所以他們是犯罪分子，而不是某一起攻擊的協(xié)調(diào)者。”

3. 積極響應(yīng)，堅持立場。

與所有災(zāi)難響應(yīng)一樣，千萬別慌張。保持冷靜，堅持下去。確保你的服務(wù)在運(yùn)行，并向客戶通報基本情況。Beardslet強(qiáng)調(diào)，如果你作好了充分準(zhǔn)備，你的團(tuán)隊就會準(zhǔn)備好響應(yīng)。

Matthews表示，他建議客戶應(yīng)該設(shè)立小型戰(zhàn)情室，那樣團(tuán)隊成員可以相互協(xié)調(diào)、優(yōu)化響應(yīng)手法。一旦你的技術(shù)團(tuán)隊緩解了攻擊，就要確保負(fù)責(zé)通報的團(tuán)隊準(zhǔn)備好向媒體提供具體的細(xì)節(jié)，法務(wù)團(tuán)隊準(zhǔn)備好處理潛在的監(jiān)管和合規(guī)問題。

要是有人要你付贖金，別付錢給劫持者。Matthews說：“無法保證犯罪分子會遵守約定。乖乖付錢只會表明你或貴企業(yè)是容易下手的對象。一旦被確認(rèn)是會乖乖付錢的企業(yè)，別人可能聽到風(fēng)聲后就會聞風(fēng)而至。”

4. 學(xué)習(xí)和適應(yīng)。

攻擊緩下來后，要趁機(jī)喘口氣。Beardsley表示，從攻擊中汲取經(jīng)驗和教訓(xùn)很重要。“事后要認(rèn)真分析一下哪里對頭，哪里出了岔子。”

確保你的IT和法務(wù)團(tuán)隊收集了所需的取證分析數(shù)據(jù)，并將生成的詳細(xì)數(shù)據(jù)記入日志。制定一套通報規(guī)程，以便應(yīng)對內(nèi)部的團(tuán)隊問題、新聞媒體和客戶。

Price說，從攻擊中汲取教訓(xùn)，弄清楚怎么會受到攻擊。“查明網(wǎng)絡(luò)瓶頸在哪里，選擇天生具有彈性的基礎(chǔ)設(shè)施鏈。”

在服務(wù)器受到持續(xù)一周的攻擊后，借助總部位于瑞士的網(wǎng)絡(luò)管理公司IP-Max，Protonmail最終抵御住了這次攻擊。Andy Yen說：“到頭來，挽救ProtonMail的不是我們，而是IP-Max。這些人非常精通網(wǎng)絡(luò)，所以能夠讓奇跡發(fā)生。”

Beardsley強(qiáng)調(diào)，分析和通報將有助于防備下一次攻擊，并且提升團(tuán)隊士氣。

Beardsley說：“應(yīng)急工作在IT行業(yè)司空見慣，但是經(jīng)常做應(yīng)急工作卻不作反省，只會將自己搞得疲憊不堪。你最不希望看到的一幕是，了解企業(yè)以往情況的員工在危機(jī)期間及之后走人。”