对DDoS攻击说不! 看企业如何防御DDoS攻击

本文将主要探讨如何减小DDoS攻击的发生率和破坏力，以及如何结合使用内部和基于云的DDoS缓解控制措施，尽量减小日益复杂的DDoS攻击对企业业务造成的干扰和破坏。

评估DDoS攻击的威胁

DDoS攻击的破坏力很大，足以威胁到整个国家的关键基础设施，这个事实可以解释为何诸多政府部门在开始要求：必须制定DDoS缓解方案。比如说，受联邦金融机构检查委员会监管的金融机构现在必须监控无无遭到DDoS攻击，要有随时就能激活的事件响应方案，并确保在攻击持续期间有足够的人手，包括求助事先签好的第三方服务，如果有的话。还鼓励金融机构将攻击方面的详情上报金融服务信息共享和分析中心以及执法部门，帮助其他机构识别和缓解新的威胁及手法。

针对DDoS攻击等网络威胁的全球合作在加强。由于僵尸网络是一大威胁及常见的DDoS武器，联邦调查局(FBI)和国土安全部与另外100多个国家共享了他们认为被感染了DDoS恶意软件的成千上万台计算机的IP地址。白宫网络安全办公室、商务部、国土安全部以及行业僵尸网络组织也在紧密地合作，共同对付和打击僵尸网络。打掉僵尸网络无疑有助于改善安全形势，但这是一项永远不会结束的任务。

实施DDoS缓解控制措施，对DDoS攻击说不!

针对分布式拒绝服务的缓解方案不可忽视，因为这种攻击的频率和复杂性给更多的企业组织构成了威胁。如今的DDoS攻击结合了大强度的蛮力攻击和应用程序层攻击，尽量造成最大程度的破坏，并躲避检测机制。有些DDoS攻击利用了成千上万中招的系统或Web服务，会给企业在成本和声誉方面极其重大的破坏，拒绝服务日益成为高级针对性攻击的一部分。好消息是，你可以使用好多工具，尽量减小这种类型的攻击给客户和收入造成的影响。

想缓解DDoS，首先就要确保你已定义了事件响应流程，并且明确了责任，这就需要多个小组通力合作。DDoS防范规划需要安全团队与网络操作人员、服务器管理员和桌面支持人员以及法律顾问和公关经理携起手来。

一旦DDoS事件响应方案落实到位，你就可以关注四大方面的DDoS缓解控制措施，尽量减小DDoS攻击给业务造成的干扰和破坏。在此按重要性顺序排列：

•互联网服务提供商(ISP)。大多数ISP都有“洁净的网络管道”(Clean Pipe)或DDoS缓解服务，收费通常要比标准的带宽成本高一些。基于ISP的服务对许多中小企业来说很管用，也符合预算方面的要求。别忘了一点：云服务提供商和主机托管商也是ISP。

•DDoS缓解即服务提供商。如果你有多家ISP，第三方DDoS缓解即服务提供商也许是一种更明智的选择，不过基于云的服务通常成本更高。如果改变DNS或BGP路由，让攻击流量通过DDoS SaaS提供商来发送，你就能过滤掉攻击流量，无论哪家ISP来为你处理。

•专用的DDoS缓解设备。你可以在互联网接入点部署DDoS缓解设备，以此保护服务器和网络。不过，蛮力攻击可能仍会耗尽你的所有带宽――即使服务器没有崩溃，客户们仍无法正常访问。

•基础设施部件：比如负载均衡系统、路由器、交换机和防火墙。依赖贵企业的操作基础设施来缓解DDoS攻击是注定失败的策略，只能对付最软弱无力的攻击。然而，这些部件在协同缓解DDoS方面却能够发挥作用。

大多数企业需要外部服务和内部DDoS缓解能力结合起来。对你员工的技能水平作一个切合实际的评估――要是你手下有IT安全人员能检测并分析威胁，先从内部DDoS缓解开始入手，然后逐渐完善策略，加入外部服务。要是你没有足够的人手或者所需的技能组合，不妨从外部服务开始入手，考虑将来添加托管CPE(用户端设备)缓解能力。

无论你最后选择了哪种架构，每年都要至少测试两次DDoS缓解控制措施。如果你借助外部服务提供商，就要核对路由和DNS方面的变化，确保流量会传送到外部服务，不会有重大干扰――另外还要确保能顺利切回到直接路由。网络配置和DNS路由在正常操作期间常常变动――你要在实际的DDoS攻击之前弄清楚这一点。

防止DDoS攻击

想防止DDoS攻击，长期的解决办法就是加强攻击者用来发动攻击的互联网协议，并且要求升级系统，以便得益于最佳实践。比如说，许多DDoS攻击之所以能得逞，就是因为攻击者通常借助上当受骗的源IP地址来生成流量。IETF Best Common Practices文档BCP 38建议：网络操作人员应对从下游客户进入其网络的数据包进行过滤，丢弃源地址不在其地址范围内的任何数据包。这样可以让黑客无法发送声称来自另一个网络的数据包(即欺诈攻击)。不过，按BCP 38的要求来做需要一笔支出，却没有立竿见影的效果，因而尽管有益于更广泛的社区，却没有全面实施起来。

网络管理员们可以确保自己遵守其他最佳实践，从而加强互联网的总体安全。比如说，他们应该熟悉国土安全部颁布的DDoS快速指南(DDoS Quick Guide)，还应该落实开放解析器项目(Open Resolver Project)等项目给予的建议。开放解析器可以回复针对域外主机的递归查询，因而用于DNS放大DDoS攻击中。该项目已列出了2800万个构成重大威胁的解析器，并提供了详细指导，教人们如何配置DNS服务器，以减小DNS放大攻击的威胁。

与往常一样，若能确保已安装了软件的最新版本，系统不大容易受到黑客的攻击，黑客经常企图利用其资源作为DDoS攻击的一部分。比如说，务必要更新运行BIND的DNS服务器，因为互联网系统联盟(Internet Systems Consortium)现在已将响应速率限制(RRL)添加到最佳版本中。RRL可以检测表明存在滥用现象的模式，从而有助于缓解DNS放大攻击，并减少发送回复的速率。另外务必要更新网络时间协议(NTP)服务器，因为4.2.7之前的所有版本都很容易被用于NTP放大攻击中。

虽然金融机构等大企业是某些攻击者眼里的明显目标，但它们至少有财力和资源来采用最新的安全技术和最佳实践。不过，资源有限的小企业仍然面临可能很强大的对手。这也是谷歌启动护盾项目(Project Shield)的原因之一：好让那些运行新闻、人权或选举方面网站的组织机构可以通过谷歌庞大的DDoS缓解基础设施来发布其内容。这种类型的计划主要旨在确保潜在的受害者有足够的资源来抵御攻击，从而消除DDoS攻击的影响。

全面共享DDoS缓解资源、实施行业最佳实践可能很费时间和资源，而且可能无法立即带来回报，但是互联网是个整体性的社区项目，打击DDoS攻击是大家共同的责任。除非人人都出一份力，否则再多的计划也无法让我们摆脱该死的DDoS攻击。