[[175070]]

勒索軟件和資料外泄可能是最受關(guān)注的，但是拒絕服務(wù)(Denial-of-service, DoS)攻擊的案例正在增加。那么我們可以做什么來(lái)減少它們帶來(lái)的影響呢?

聽(tīng)過(guò)一句古話(huà)叫做“重?zé)ㄉ鷻C(jī)”嗎?好吧，拒絕服務(wù)攻擊正好印證了這句話(huà)。事實(shí)上，拒絕服務(wù)攻擊(或者稱(chēng)之為DoS)的使用數(shù)量正在增加。阿卡邁科技最近的一份報(bào)告顯示，在2016年的第一個(gè)季度DoS攻擊數(shù)量與2015年同比增長(zhǎng)了125%。與此同時(shí)，一份來(lái)自Verizon的最新報(bào)告顯示，受DoS影響的行業(yè)包含了國(guó)有企業(yè)、零售業(yè)、金融服務(wù)業(yè)和學(xué)校——所有這些行業(yè)都需要抵御拒絕服務(wù)攻擊的措施。

盡管DoS攻擊沒(méi)有像勒索軟件、Point-of-Sale(POS)攻擊或者零售數(shù)據(jù)泄露那么引人注目，但是它能影響的用戶(hù)數(shù)也是很多的。讓這些攻擊一直這么流行的原因是他們很容易被觸發(fā)，并且很難完全地防護(hù)它們。DoS攻擊只是針對(duì)應(yīng)用可用性，攻擊者可以很簡(jiǎn)單地將服務(wù)中斷。

使用新的方式進(jìn)行DoS攻擊

學(xué)生們也發(fā)現(xiàn)了DoS攻擊的威力了，一些學(xué)生黑客使用這項(xiàng)技術(shù)來(lái)簡(jiǎn)單地逃避將要進(jìn)行的考試。他們使用DoS攻擊應(yīng)用服務(wù)器幾個(gè)小時(shí)，就不再需要擔(dān)心考試不通過(guò)了。這種方法如此簡(jiǎn)單的原因是DoS產(chǎn)品很簡(jiǎn)單而且便宜，并且可以在網(wǎng)上買(mǎi)到，你甚至不需要到“暗網(wǎng)”上去買(mǎi)。只要簡(jiǎn)單地搜索一下這個(gè)術(shù)語(yǔ)，網(wǎng)站就會(huì)返回很多DoS的服務(wù)。很多這些booter網(wǎng)站支持通過(guò)信用卡，Paypal，Western Union和比特幣進(jìn)行付款。

顯而易見(jiàn)，這樣的門(mén)檻是很低的，因此任何人都可以發(fā)起一個(gè)DoS來(lái)攻擊你的公司。因此，在攻擊發(fā)生之前部署拒絕服務(wù)防衛(wèi)計(jì)劃是非常重要的。這個(gè)計(jì)劃會(huì)在被攻擊之前解決誰(shuí)來(lái)進(jìn)行響應(yīng)、響應(yīng)的內(nèi)容是什么以及會(huì)執(zhí)行哪些防護(hù)措施會(huì)等問(wèn)題。要減少任何潛在的損害，你需要盡早定位和檢測(cè)到要受到的攻擊。

流量的隔離

識(shí)別和檢測(cè)技術(shù)是基于的是檢測(cè)和區(qū)別合法流量及非法流量的能力。行為分析是最常見(jiàn)的一種技術(shù)，行為分析通過(guò)記錄平均包速率來(lái)將有差異的包進(jìn)行標(biāo)記。這種方法會(huì)在有問(wèn)題發(fā)生的時(shí)候提醒你。變點(diǎn)檢測(cè)是另一個(gè)有用的技術(shù)，這項(xiàng)技術(shù)使用統(tǒng)計(jì)數(shù)據(jù)和對(duì)累積和的估算來(lái)定位和識(shí)別真實(shí)和網(wǎng)絡(luò)流量以及預(yù)期的網(wǎng)絡(luò)流量。

增大帶寬和部署負(fù)載均衡器是兩個(gè)很重要的步驟。事實(shí)是，你應(yīng)該總是擁有比你想象需要更多的帶寬才對(duì)。這不只是針對(duì)于DoS來(lái)說(shuō)，其他合理的事件也會(huì)導(dǎo)致流量的突發(fā)。擁有額外的帶寬可以幫助吸收攻擊，以及可以為防御響應(yīng)爭(zhēng)取更多的時(shí)間。同步服務(wù)器可以提供額外的自動(dòng)防故障保護(hù)。這種拒絕服務(wù)防御策略的想法是將流量負(fù)載到多服務(wù)器架構(gòu)的不同服務(wù)器上，以此來(lái)進(jìn)一步減輕攻擊帶來(lái)的傷害。

減緩請(qǐng)求來(lái)保護(hù)你的網(wǎng)絡(luò)

限流是另一個(gè)有用的技術(shù)。限流減緩每一個(gè)用戶(hù)的請(qǐng)求數(shù)量，還可能可以對(duì)短時(shí)間太多的嘗試進(jìn)行限制。你應(yīng)該考慮阻攔一些無(wú)效的地址。你可能有時(shí)候會(huì)聽(tīng)說(shuō)這種稱(chēng)之為bogon and martian packet filtering的做法。這些簡(jiǎn)單來(lái)說(shuō)就是一些無(wú)效的地址，比如說(shuō)無(wú)用的地址、loopback地址和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)地址。

不要忘了回顧一下RFC 2827和3704的標(biāo)準(zhǔn)。RFC 2827不會(huì)對(duì)DoS攻擊進(jìn)行保護(hù)，但是它能阻止攻擊者在你的網(wǎng)絡(luò)使用偽造的源地址，而這些源地址是不會(huì)被防火墻規(guī)則所過(guò)濾的。你需要部署拒絕服務(wù)攻擊的防御技術(shù)。RFC 3704也是通過(guò)拒絕偽造地址帶來(lái)的流量限制DoS攻擊帶來(lái)的影響。RFC 3704也保證了流量是可以追蹤到它的正確的源地址的。更謹(jǐn)慎點(diǎn)，你可以和你的因特網(wǎng)服務(wù)供應(yīng)商(ISP)討論一下他們提供的黑洞過(guò)濾和DoS防御服務(wù)。黑洞過(guò)濾是一種在路由層面將數(shù)據(jù)包丟棄的技術(shù)，可以動(dòng)態(tài)實(shí)現(xiàn)它的功能，以快速抵御DoS攻擊。

所有的拒絕服務(wù)攻擊防御措施都可以限制DoS攻擊帶來(lái)的損害，但是這并不能阻止別人惡意地去攻擊你的網(wǎng)絡(luò)。要充分做好準(zhǔn)備，你需要有一份應(yīng)急響應(yīng)計(jì)劃、部署額外的帶寬、黑洞虛假流量和考慮從ISP那購(gòu)買(mǎi)DoS硬件和服務(wù)。最糟糕的情況是你什么都不準(zhǔn)備，而是等待DoS攻擊來(lái)臨的時(shí)候采取想響應(yīng)的方法。