DDoS攻防宝典：从Protonmail攻击中我们能学到什么?

Protonmail公司联合创始人Andy Yen表示，攻击负载大得出奇。高峰时期，那次攻击向他公司不断发送大量持续的垃圾数据。大规模的分布式拒绝服务(DDoS)攻击扬言要搞垮欧洲原子核研究组织(CERN)支持的这家小型电子邮件加密服务公司。

[[156430]]

Yen说：“我们的情绪非常低落。我们是家只有15名员工的初创公司，只想做点正当生意，却要面对设法搞垮了一家互联网服务提供商(ISP)的可怕敌人。我们的工作团队还应该设法抵御瑞士遇到过的规模最大的网络攻击，我们当中没有一个人是网络专家。”

Cloudfare的首席执行官兼联合创始人Matthew Prince说到DDoS攻击引起的破坏时说：“遭到攻击后，客户常常很愤怒，觉得自己受到了侵犯。DDoS攻击并不是什么高明的攻击。它实际上就相当于手拿棍棒的穴居人。不过手持棍棒的穴居人也能大搞破坏。”

与Yen的公司一样，大多数初创公司和小企业只有小规模团队和很少资源来对付DDoS攻击。顾名思义，DDoS对某家公司的主机托管和网站服务发送大量的数据，从而阻止用户访问网站和服务。Prince表示，有些攻击每秒发送的数据量超过1 TB。他说：“其数据量相当于典型家庭带宽连接的10万倍，就针对一个目标。”

拒绝服务攻击有多常见?来自Google Ideas和Arbor Networks共同制作的ATLAS威胁报告的数据发现，每天发生的拒绝服务攻击数量超过2000起。据Incapsula早在2014年开展的一项调查发现，拒绝服务攻击让商业界每小时蒙受的损失在5000美元至40000美元之间。该报告表示，所有攻击当中近一半的持续时间在6小时至24小时，每起事件导致的损失超过50万美元。

攻击者可能是勒索者、竞争对手、黑客活动分子，或者欺骗成性的破坏分子。要是公司或企业组织缺少专家网络专家或雄厚财力，又该如何应对网络勒索和大规模拒绝服务攻击带来的威胁呢?下面是你可以采取的四个做法。

1. 做好准备。

Rapid7公司的安全研究经理Tod Beardsley表示，所有中小企业应该防备拒绝服务攻击，要准备好灾难响应计划。最佳实践包括：确定小组中哪些重要成员负责响应。明确团队角色、任务和要求。Beardsley表示，然后，“在紧急事件发生之前经常演练，那样万一发生不可避免的事情，每个相关人员都知道该如何是好。”

公司和企业组织应该与内部的IT和公关团队、主机托管提供商和ISP合作，共同确认易受攻击的故障点、技术漏洞及逃生路线，并且明确如何向客户和新闻媒体通报受到的损害和服务中断。

2. 了解攻击。

导致你网络瘫痪的到底是职业团伙还是业余黑客?一些备受考验的服务商提供各种各样的DDoS预防软件，比如Akamai、Imperva Incapsula和Cloudflare。大多数这些工具运行复杂的算法，可以识别不同类型的流量。DDoS工具试图嗅出、检测并过滤各种类型的恶意和良性的机器人程序，允许合法流量进出。

常常很难从单单一起事件中辨别攻击是“专业人士、脚本小子还是租赁DDoS服务的愤怒学生所为。”Imperva Incapsula的营销副总裁Tim Matthews说。他特别指出，基本上可以说，流量超过50 Gbps或更多的网络攻击极可能是专业人士所为。

一些最常见的攻击工具常常打着“网络安全工具”的幌子扩散开来，它们名为booter或压力源(stressor)。顾名思义，这类工具会放大并专注DDoS有效载荷：潮水般的Web机器人程序和杂乱的网络流量。

Matthews说：“我们确实密切跟踪已知的僵尸网络，所以就算我们不知道实施攻击的犯罪分子是谁，至少也知道使用什么样的武器。僵尸网络运营者就好比是军火商。他们向有钱或持相同世界观的所有人兜售工具。所以他们是犯罪分子，而不是某一起攻击的协调者。”

3. 积极响应，坚持立场。

与所有灾难响应一样，千万别慌张。保持冷静，坚持下去。确保你的服务在运行，并向客户通报基本情况。Beardslet强调，如果你作好了充分准备，你的团队就会准备好响应。

Matthews表示，他建议客户应该设立小型战情室，那样团队成员可以相互协调、优化响应手法。一旦你的技术团队缓解了攻击，就要确保负责通报的团队准备好向媒体提供具体的细节，法务团队准备好处理潜在的监管和合规问题。

要是有人要你付赎金，别付钱给劫持者。Matthews说：“无法保证犯罪分子会遵守约定。乖乖付钱只会表明你或贵企业是容易下手的对象。一旦被确认是会乖乖付钱的企业，别人可能听到风声后就会闻风而至。”

4. 学习和适应。

攻击缓下来后，要趁机喘口气。Beardsley表示，从攻击中汲取经验和教训很重要。“事后要认真分析一下哪里对头，哪里出了岔子。”

确保你的IT和法务团队收集了所需的取证分析数据，并将生成的详细数据记入日志。制定一套通报规程，以便应对内部的团队问题、新闻媒体和客户。

Price说，从攻击中汲取教训，弄清楚怎么会受到攻击。“查明网络瓶颈在哪里，选择天生具有弹性的基础设施链。”

在服务器受到持续一周的攻击后，借助总部位于瑞士的网络管理公司IP-Max，Protonmail最终抵御住了这次攻击。Andy Yen说：“到头来，挽救ProtonMail的不是我们，而是IP-Max。这些人非常精通网络，所以能够让奇迹发生。”

Beardsley强调，分析和通报将有助于防备下一次攻击，并且提升团队士气。

Beardsley说：“应急工作在IT行业司空见惯，但是经常做应急工作却不作反省，只会将自己搞得疲惫不堪。你最不希望看到的一幕是，了解企业以往情况的员工在危机期间及之后走人。”