盡管互聯(lián)網(wǎng)安全技術(shù)不斷進(jìn)步，但拒絕服務(wù)(DoS)攻擊仍然肆無(wú)忌憚地影響著很多企業(yè)的運(yùn)作。沒(méi)有人想成為DoS攻擊的目標(biāo)，在攻擊發(fā)生之前，企業(yè)必須制定一個(gè)DoS攻擊響應(yīng)計(jì)劃以防萬(wàn)一。這種業(yè)務(wù)連續(xù)性計(jì)劃不僅應(yīng)該包含技術(shù)步驟，一個(gè)全面的DoS攻擊防御計(jì)劃還必須明確在某些情況下如何繼續(xù)業(yè)務(wù)。

在本文中，我們根據(jù)最近發(fā)生的DoS攻擊來(lái)分析DoS威脅的廣度和深度，以及如何從技術(shù)角度預(yù)防DoS攻擊，我們還將介紹能夠更快處理問(wèn)題的關(guān)鍵業(yè)務(wù)及通信戰(zhàn)略。

DoS威脅的廣度和深度

在著名的2000 Mafiaboy DDoS攻擊(主要針對(duì)雅虎、易趣、CNN和亞馬遜網(wǎng)站)之前，DoS攻擊就已經(jīng)出現(xiàn)了，然而，自那以后，DoS攻擊發(fā)生了顯著的改變。Mafiaboy 攻擊時(shí)期的大多數(shù)工具都需要一定水平的專(zhuān)業(yè)技術(shù)，但用JavaScript編寫(xiě)的更現(xiàn)代的工具出現(xiàn)后，幾乎任何人都可以發(fā)動(dòng)DoS攻擊。臭名昭著的黑客組織Anonymous在他們的DDoS攻擊中就是用了這種工具。這些攻擊工具發(fā)動(dòng)的攻擊屬于基本的IP和應(yīng)用程序級(jí)的攻擊。

當(dāng)他們有很多攻擊節(jié)點(diǎn)時(shí)(或者稱(chēng)之為僵尸網(wǎng)絡(luò))，DoS攻擊仍然是最有效的攻擊。這是因?yàn)槠髽I(yè)很難阻止大量來(lái)源，而單個(gè)系統(tǒng)需要的帶寬很低，所以即使是只有互聯(lián)網(wǎng)連接很慢的系統(tǒng)都可以被利用。

DoS攻擊應(yīng)對(duì)準(zhǔn)備：業(yè)務(wù)規(guī)劃

DoS攻擊業(yè)務(wù)的準(zhǔn)備工作應(yīng)該包括溝通、業(yè)務(wù)連續(xù)性規(guī)劃和IPS。如果企業(yè)的網(wǎng)站托管給了外部托管供應(yīng)商，企業(yè)必須確保該供應(yīng)商有能力及時(shí)響應(yīng)DoS攻擊。無(wú)論使用什么工具，供應(yīng)商必須知道如何有效地使用其工具以及制定有效的步驟。一些在短期內(nèi)減小DoS攻擊影響的措施如果在攻擊后沒(méi)有刪除的話(huà)，可能會(huì)對(duì)長(zhǎng)期防御工作有負(fù)面影響，。

企業(yè)應(yīng)該將DoS攻擊響應(yīng)服務(wù)寫(xiě)進(jìn)與供應(yīng)商的合同中，甚至還可以將響應(yīng)服務(wù)寫(xiě)進(jìn)服務(wù)水平協(xié)議(SLA)中。例如，企業(yè)可以確保SLA規(guī)定了應(yīng)該記錄響應(yīng)時(shí)間，因?yàn)楦斓仨憫?yīng)時(shí)間意味著更小的停機(jī)時(shí)間。

在協(xié)商合同細(xì)節(jié)時(shí)，還應(yīng)該對(duì)費(fèi)用和任何額外的使用費(fèi)進(jìn)行預(yù)先協(xié)商，提前這樣做可以防止供應(yīng)商在攻擊事故期間收取額外的服務(wù)費(fèi)用。使用SLA還可以確保ISP或者托管服務(wù)供應(yīng)商滿(mǎn)足可用性要求，例如99.9%的正常運(yùn)行時(shí)間。

此外，在規(guī)劃DoS攻擊響應(yīng)計(jì)劃時(shí)，企業(yè)的計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)應(yīng)該與業(yè)務(wù)部門(mén)(包括業(yè)務(wù)運(yùn)營(yíng)的關(guān)鍵決策者)建立聯(lián)系以確保發(fā)生事故時(shí)，利益相關(guān)者將得到通知。關(guān)鍵決定者應(yīng)該能夠在最糟糕的情況下確定和決定斷開(kāi)互聯(lián)網(wǎng)連接，或者斷開(kāi)部分互聯(lián)網(wǎng)連接。禁用互聯(lián)網(wǎng)連接可能需要高管簽名，但是阻止個(gè)別網(wǎng)絡(luò)可以由CSIRT來(lái)做出決定。此外，還應(yīng)該與相關(guān)內(nèi)部部門(mén)建立聯(lián)系，包括市場(chǎng)營(yíng)銷(xiāo)或公共關(guān)系部門(mén)，這樣這些部門(mén)就可以與媒體溝通有關(guān)DoS 攻擊的問(wèn)題。建立這些溝通渠道還可以幫助確定關(guān)鍵決策者，例如能夠授權(quán)購(gòu)買(mǎi)新的DoS保護(hù)設(shè)備來(lái)減小攻擊影響的人。

#p#

DoS攻擊應(yīng)對(duì)準(zhǔn)備：技術(shù)響應(yīng)

對(duì)于任何事件，包括DoS攻擊的響應(yīng)方案，準(zhǔn)備工作都是快速緩解問(wèn)題的關(guān)鍵。準(zhǔn)備工作取決于攻擊類(lèi)型以及互聯(lián)網(wǎng)的情況。技術(shù)準(zhǔn)備可以分為網(wǎng)絡(luò)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施兩部分，包括識(shí)別、響應(yīng)和監(jiān)控。確定DoS攻擊可以是很簡(jiǎn)單的，例如客戶(hù)發(fā)郵件表示他們不能使用你的網(wǎng)站，也可以是很復(fù)雜的，例如帶寬監(jiān)控工具報(bào)告顯示你的WAN鏈接過(guò)度使用。

在獲知可能遭受攻擊后，調(diào)查受到攻擊的基礎(chǔ)設(shè)施以確定最有效的響應(yīng)。通過(guò)查看IDS、流量數(shù)據(jù)、服務(wù)器日志、應(yīng)用程序日志或者其他網(wǎng)絡(luò)數(shù)據(jù)，找到高使用率模式，來(lái)確定受到攻擊的具體的服務(wù)器或者應(yīng)用程序。如果web應(yīng)用程序受到攻擊，應(yīng)該立即將網(wǎng)站轉(zhuǎn)移到另一個(gè)托管供應(yīng)商、服務(wù)器或者網(wǎng)絡(luò)，或者部署DoS保護(hù)工具來(lái)確保業(yè)務(wù)連續(xù)性。服務(wù)器或者服務(wù)甚至還可以轉(zhuǎn)移到云供應(yīng)商或者內(nèi)容分發(fā)網(wǎng)絡(luò)。

可以通過(guò)監(jiān)控來(lái)確定攻擊是不是停止、改變。監(jiān)控只能利用檢測(cè)工具，當(dāng)達(dá)到某個(gè)閥值時(shí)發(fā)出警報(bào)，例如80%的鏈路利用率或者大量UDP連接。你還可以聯(lián)系來(lái)源ISP，要求他們阻止其客戶(hù)參與到DDoS攻擊中，或者阻止來(lái)源。你也可以自己阻止來(lái)源，但是阻止大量攻擊計(jì)算機(jī)有點(diǎn)困難。一旦DoS攻擊減弱，這種阻止應(yīng)該被移除或者網(wǎng)站應(yīng)該移回原來(lái)的托管地點(diǎn)。最后評(píng)估確定這些短期或長(zhǎng)期保護(hù)措施是否應(yīng)該保持不變。

總結(jié)

DoS攻擊可能對(duì)企業(yè)造成嚴(yán)重影響，但準(zhǔn)備工作可以最大限度地減小業(yè)務(wù)中斷。DoS攻擊不斷演變，使得它們變得越來(lái)越難以阻止和追蹤所有來(lái)源，但是我們可以采用新方法來(lái)盡量減小影響。雖然我們可能無(wú)法停止攻擊，但是通過(guò)適當(dāng)?shù)臏?zhǔn)備工作，我們能夠在遭受攻擊時(shí)，保持業(yè)務(wù)連續(xù)性，這種準(zhǔn)備工作不僅應(yīng)該包括內(nèi)部技術(shù)措施，還應(yīng)該包含與外部供應(yīng)商的溝通和協(xié)商。