盡管因特網安全技術在發展，高調的拒絕服務（denial-of-service，簡稱DoS）攻擊還是不斷地干擾許多組織的運轉。少數公司已經準備好應付DoS攻擊，但是對于組織來說在DoS攻擊發生前進行DoS攻擊響應規劃至關重要。這些業務連續性規劃應該不僅包括技術步驟。更為全面深入的DoS攻擊預防規劃必須判斷如何在特定的場景下繼續業務運轉。在本文中，我們會援引最近發生的DoS攻擊事件來分析DoS威脅的廣度和深度，和如何同時從技術以及關鍵業務和通信策略出發來應對DoS攻擊，這些能有助于更快和更經濟地處理狀況。

DoS威脅的寬度和深度

在2000年發生著名的針對Yahoo、eBay、CNN和Amazon web站點Mafiaboy(黑手黨男孩) DDoS攻擊前，DoS攻擊已經出現有一段時間了。然而自從那以后DoS攻擊的威脅發生了極大的變化。在Mafiaboy攻擊時期，大多數的工具要求某種程度的專業技能，但是更多現代的用JavaScript編寫的工具是在用戶的Web瀏覽器內運行，這使得事實上任何人都可能嘗試發起DoS攻擊。聲名狼藉的黑客團體Anonymous在他們的DDoS攻擊中已經使用了這些工具。這些攻擊工具一直是用于發起基礎的IP和應用級別攻擊，造成企業的帶寬和處理能力被壓垮。

而且，當攻擊者擁有許多攻擊節點、或者換句話說就是用于DDoS攻擊的僵尸網絡（botnet）時，DoS攻擊仍然是最為有效的方式。這是因為很難阻斷大量的攻擊來源，并且對于單個攻擊系統來說要求的帶寬是低的，所以即使是網速很慢的系統也能被利用來攻擊。

DoS攻擊響應準備：業務規劃

公司對于DoS攻擊準備的工作應該包括通信、業務連續性規劃以及讓ISP參與進來。如果企業的Web站點位于公司外的主機提供商，必須確保服務提供商擁有能力、工具和流程來及時地對DoS攻擊做出響應。不管使用什么工具，服務提供商需要知道如何有效地使用該工具并且制定有效的流程。如果在DoS攻擊后沒有取消一些短期地將DoS攻擊影響最小化步驟，可能在復雜性上造成消極的長期影響。

企業也應該在它和服務提供商的合同條款中包括DoS攻擊響應服務內容，并且可能的話甚至增加應該包括在服務品質協議（service-level agreement，簡稱SLA）中的響應的詳細內容。例如，確保SLA要求記載響應時間是明智的，因為對于企業的Web站點來說更短的宕機時間可能帶來更快的響應時間。

當協商合同內容時，可能也要提前協商費用以及額外的使用報價。提前做這些事情以防在事故期間服務提供商因為額外的服務索要離譜的費用。以協商好的價格擁有SLA也能確保ISP或是主機提供服務商滿足可用性要求，例如企業Web 站點99.9%的正常運作時間。

同樣，在規劃對DoS攻擊做出響應時，企業的計算機安全事故響應團隊（computer security incident response team，簡稱CSIRT）應該建立與業務部門、包括在業務運作方面主要決策者溝通的方法，以確保在事故期間告知重要的利益相關人并與其磋商。應該認定主要的決策者，并且賦予其在最壞情況下中斷因特網連接、或是僅是中斷部分因特網連接的權力。禁用因特網連接可能要求高層領導簽署決策，但是斷開單個網絡連接可由CSIRT團隊決定。同相關內部部門的溝通也應該開放，包括市場或是公眾關系部門，以便這些部門能夠就該DoS攻擊事件和媒體交流。建立這些溝通渠道也能幫助認定主要決策者，例如搞清楚如果需要的話誰能授權購買新的DoS防范網絡設備來將攻擊的影響最小化。

DoS攻擊響應準備：技術響應

對于包括DoS攻擊在內的任何事故響應情況來說，準備工作對于快速地緩解該問題是關鍵的。準備工作取決于攻擊類型，以及因特網主機位于何處。技術上的準備工作能夠劃分為網絡和Web基礎設施部分，包括辨識、響應和監控。辨別DoS攻擊可能從簡單的，如收到某個消費者無法使用Web站點的通知，到更為復雜的，例如收到來自帶寬監控工具的通知，報告WAN連接使用率過高。

一旦被告知可能發生的事故，要調查被攻擊的基礎設施來判斷最有效的響應措施。通過觀察IDS、數據流、服務器日志、應用日志或是其它網絡數據，并且查找高使用率模式來辨別被攻擊的特定服務器或是應用。如果某個Web應用被攻擊，響應措施可能是將該Web站點遷移到另外的主機服務提供商、服務器或是網絡，或者是利用DoS防護工具來確保業務運作的持續性。這些服務器或服務甚至可以遷移到云服務提供商或是內容分發網絡上。可以使用監控來判斷是否攻擊已經停止、發生變化或是需要額外的措施。監控手段可能僅是利用偵測工具并且創建當滿足閾值條件時的告警，例如80%的連接利用率或是大量的UDP連接。你也可以聯系攻擊源頭的ISP來要求他們阻斷他們的顧客參與DDoS攻擊或是阻斷攻擊來源。你可以自己來阻斷攻擊來源，但是阻斷大量的攻擊計算機可能是困難的。一旦DoS攻擊減弱后，要么取消措施、或是將Web站點移回原來的主機上。要評估防護措施是否到位或者是應該保持長期的變更。

結論

DoS攻擊可以使業務癱瘓，但是提前準備的話，對業務的干擾能夠降至最低。DoS攻擊的發展已經使得阻斷它們和追溯所有的攻擊來源更加困難，但是新的方法可以將其影響最小化。要阻止此類攻擊不太可能，而有準備工作保障持續地運轉業務是可能的。但是準備工作必須不僅包括公司內部的技術措施，還應該包括與外部服務提供商詳盡的溝通和規劃，由詳細的SLA提供的支持會防止發生事故時預料外的耽擱和費用。