介紹

分布式拒絕服務(wù) (DDoS) 攻擊的復(fù)雜性、規(guī)模和頻率都在不斷增加。其目標(biāo)和攻擊方法的范圍（例如，從使用 PC 和筆記本電腦等傳統(tǒng)設(shè)備到使用聯(lián)網(wǎng)的物聯(lián)網(wǎng) (IoT) 設(shè)備）也在不斷擴(kuò)大。企業(yè)如果希望減輕未來 DDoS 攻擊的影響，并降低內(nèi)部設(shè)備被納入僵尸網(wǎng)絡(luò)攻擊其他企業(yè)的可能性，就會(huì)發(fā)現(xiàn)目前尚無全面的指南。大型企業(yè)被迫投入大量財(cái)力和人力資源來識(shí)別、采購(gòu)和部署適當(dāng)?shù)木徑鈾C(jī)制。小型企業(yè)通常缺乏專業(yè)知識(shí)，或者無力將這些資源用于制定反 DDoS 策略。全面的解決方案非常復(fù)雜，通常需要結(jié)合本地管理和外部商業(yè)服務(wù)，因此將組織需求傳達(dá)給服務(wù)提供商和供應(yīng)商至關(guān)重要。

《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》（簡(jiǎn)稱“網(wǎng)絡(luò)安全框架”）由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 制定，并廣泛聽取了私營(yíng)部門的意見。該框架提供了一種基于風(fēng)險(xiǎn)的靈活網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方法，并融合了行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐。網(wǎng)絡(luò)安全框架的設(shè)計(jì)旨在使各個(gè)組織能夠確定自身獨(dú)特的風(fēng)險(xiǎn)、容忍度、威脅和漏洞，從而優(yōu)先配置資源，最大限度地提高效率。

該框架廣泛適用于各種行業(yè)、組織、風(fēng)險(xiǎn)承受能力和監(jiān)管環(huán)境，并可通過使用配置文件進(jìn)行補(bǔ)充。根據(jù)框架的定義，配置文件是指將框架組件應(yīng)用于特定行業(yè)、威脅或組織。配置文件可根據(jù)具體情況，通過應(yīng)用框架類別和子類別進(jìn)行定制，以適應(yīng)特定的實(shí)施方案。配置文件的構(gòu)建應(yīng)考慮組織的a)業(yè)務(wù)/使命目標(biāo)；b)監(jiān)管要求；以及c)運(yùn)營(yíng)環(huán)境。

組織可以使用配置文件，根據(jù)其業(yè)務(wù)目標(biāo)定義網(wǎng)絡(luò)安全態(tài)勢(shì)的理想狀態(tài)，并以此衡量實(shí)現(xiàn)該狀態(tài)的進(jìn)度。它使組織能夠分析特定目標(biāo)所需的成本、工作量和風(fēng)險(xiǎn)。行業(yè)部門也可以使用配置文件來記錄針對(duì)特定威脅的最佳實(shí)踐。

DDoS 威脅緩解概要強(qiáng)調(diào)了如何利用網(wǎng)絡(luò)安全框架來提升組織機(jī)構(gòu)對(duì) DDoS 攻擊的防御和響應(yīng)能力。本概要確定了對(duì)抗 DDoS 威脅最重要的網(wǎng)絡(luò)安全框架類別和子類別。為了進(jìn)一步完善概要，新增了優(yōu)先級(jí)和框架注釋。類別和子類別均標(biāo)有不同的優(yōu)先級(jí)，用于保護(hù)網(wǎng)絡(luò)和服務(wù)免受相關(guān)攻擊：

• P1 – 最高優(yōu)先級(jí)子類別
• P2 – 次要優(yōu)先級(jí)子類別
• P3 – 第三優(yōu)先級(jí)子類別

組織應(yīng)努力實(shí)施所有已確定的子類別，但當(dāng)資源不允許這樣做時(shí)，實(shí)施 P1 子類別將提供堅(jiān)實(shí)的基礎(chǔ)。

DDoS 威脅緩解配置文件是一個(gè)目標(biāo)配置文件，專注于組織網(wǎng)絡(luò)安全的期望狀態(tài)，以緩解 DDoS 威脅。希望增強(qiáng)網(wǎng)絡(luò)抵御 DDoS 攻擊能力的企業(yè)可以從使用 DDoS 威脅緩解配置文件中獲益良多。

本概要旨在為企業(yè)提供指導(dǎo)，并建立與產(chǎn)品供應(yīng)商、互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 和其他基礎(chǔ)設(shè)施提供商就 DDoS 緩解機(jī)制進(jìn)行討論的通用語言。本概要可用于幫助企業(yè)識(shí)別改進(jìn) DDoS 威脅緩解措施的機(jī)會(huì)，并通過將企業(yè)當(dāng)前狀態(tài)與期望目標(biāo)狀態(tài)進(jìn)行比較來協(xié)助確定網(wǎng)絡(luò)安全優(yōu)先級(jí)。需要注意的是，本概要并未直接闡述組織應(yīng)如何防止其資產(chǎn)成為僵尸網(wǎng)絡(luò)的一部分，并可能成為針對(duì)其他組織的 DDoS 攻擊的一部分。為了做到這一點(diǎn)，需要?jiǎng)?chuàng)建一組子類別，這些子類別最好在單獨(dú)的概要中描述。

受眾

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理是一項(xiàng)企業(yè)范圍內(nèi)的活動(dòng)，因此本概要旨在供組織內(nèi)的多個(gè)部門使用。雖然信息技術(shù)和安全團(tuán)隊(duì)可能最終負(fù)責(zé)在整個(gè)組織內(nèi)推薦、實(shí)施和維護(hù)技術(shù)安全控制措施，但風(fēng)險(xiǎn)遠(yuǎn)不止于技術(shù)層面。因此，本概要的目標(biāo)受眾是任何對(duì) DDoS 攻擊負(fù)有責(zé)任或可能受其影響的個(gè)人或業(yè)務(wù)部門。這其中應(yīng)包括法律和監(jiān)管風(fēng)險(xiǎn)經(jīng)理。

信息技術(shù)和安全人員可以使用該配置文件來確定開發(fā)、實(shí)施和維護(hù)有效的 DDoS 緩解策略所需的技術(shù)和服務(wù)類型。

法律和監(jiān)管人員可以使用此配置文件將 DDoS 風(fēng)險(xiǎn)的內(nèi)部管理與外部要求相結(jié)合，并確保組織滿足這些要求。

合規(guī)團(tuán)隊(duì)可以使用此配置文件來確定組織是否已實(shí)施正確的措施來防范 DDoS 攻擊。

DDoS威脅概述

DDoS 攻擊試圖利用來自多個(gè)來源的流量淹沒網(wǎng)絡(luò)、服務(wù)或應(yīng)用程序。DDoS 攻擊有多種方法，包括：

• 低帶寬面向連接的攻擊旨在啟動(dòng)并保持受害者的多個(gè)連接打開，耗盡其可用資源。
• 高帶寬容量攻擊會(huì)耗盡可用的網(wǎng)絡(luò)或資源帶寬。
• 面向協(xié)議的攻擊利用 TCP 等有狀態(tài)網(wǎng)絡(luò)協(xié)議。
• 應(yīng)用層攻擊旨在破壞應(yīng)用程序或服務(wù)的某些方面。

雖然這些方法都可能非常有效，但近年來，由于幾起備受矚目的事件，容量耗盡攻擊引起了人們的極大關(guān)注。反射放大就是容量耗盡 DDoS 攻擊向量的一個(gè)突出示例。這種 DDoS 攻擊會(huì)偽造攻擊目標(biāo)的 IP 地址，并從該地址向互聯(lián)網(wǎng)上的開放服務(wù)發(fā)起查詢以請(qǐng)求響應(yīng)。此方法中使用的服務(wù)通常會(huì)經(jīng)過精心選擇，使得對(duì)初始查詢的響應(yīng)大小是查詢本身的許多倍（x100s）。響應(yīng)會(huì)返回給偽造 IP 的真正所有者，因此有“反射”一詞。這種攻擊向量允許攻擊者生成海量攻擊流量，同時(shí)使目標(biāo)難以確定這些流量的原始來源。反射放大是過去十年互聯(lián)網(wǎng)上一些最大規(guī)模 DDoS 攻擊的罪魁禍?zhǔn)住?/span>

DDoS 通常被稱為“武器化”威脅，因?yàn)榘l(fā)動(dòng)攻擊不再需要技術(shù)技能。事實(shí)上，進(jìn)行 DDoS 攻擊的服務(wù)已經(jīng)激增，并且成本相對(duì)較低，易于獲取。攻擊者可以通過多種方式增強(qiáng)其攻擊能力，例如使用惡意軟件感染聯(lián)網(wǎng)設(shè)備、在托管環(huán)境中部署服務(wù)器、利用程序缺陷或其他漏洞，以及利用聯(lián)網(wǎng)設(shè)備上訪問控制不足的情況創(chuàng)建僵尸網(wǎng)絡(luò)。美國(guó)仍然是 DDoS 攻擊最常見的目標(biāo)，美國(guó)公共和私人基礎(chǔ)設(shè)施中受感染的主機(jī)最常被用作 DDoS 攻擊的源頭。可用性是信息安全的核心支柱，但評(píng)估和緩解基于可用性的威脅（例如 DDoS）的運(yùn)營(yíng)責(zé)任和紀(jì)律通常由網(wǎng)絡(luò)運(yùn)營(yíng)或應(yīng)用程序所有者以及風(fēng)險(xiǎn)和信息安全團(tuán)隊(duì)承擔(dān)。由于這種責(zé)任的劃分，風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)這些威脅的運(yùn)營(yíng)程序都可能出現(xiàn)分歧。本概要的目標(biāo)是確保通過應(yīng)用網(wǎng)絡(luò)安全框架中概述的適當(dāng)建議和最佳實(shí)踐，全面解決保護(hù)和應(yīng)對(duì) DDoS 威脅所需的戰(zhàn)略和運(yùn)營(yíng)紀(jì)律。

如何使用資料

重要的是要認(rèn)識(shí)到，該框架旨在以全面的方式實(shí)施。也就是說，它應(yīng)該被整合到整個(gè)組織的整體風(fēng)險(xiǎn)管理政策、程序和計(jì)劃中。這意味著風(fēng)險(xiǎn)所有者和管理人員必須決定哪些類別和子類別適用于整個(gè)企業(yè)，以及哪些適用于特定的業(yè)務(wù)部門。此外，由于某些子類別具有法律和監(jiān)管含義，因此在實(shí)施本概要的過程中必須咨詢法律顧問。最后，與所有安全計(jì)劃一樣，高層領(lǐng)導(dǎo)應(yīng)該了解正在開展的工作，并授權(quán)相關(guān)活動(dòng)，授權(quán)方式可以是直接授權(quán)，也可以是通過常規(guī)政策或授權(quán)。

考慮一個(gè)在實(shí)踐中如何實(shí)現(xiàn)一個(gè)特定子類別的示例：

框架核心子類別 ID.AM-1 規(guī)定“組織內(nèi)的物理設(shè)備和系統(tǒng)已清點(diǎn)”。此子類別的相對(duì)重要性基于一個(gè)廣為接受的理念：你無法妥善保護(hù)你不了解的東西。這種挑戰(zhàn)通常體現(xiàn)在許多人所說的“影子 IT”上，即在未經(jīng)安全和運(yùn)營(yíng)團(tuán)隊(duì)知情或批準(zhǔn)的情況下連接到企業(yè)網(wǎng)絡(luò)的設(shè)備。因此，這些設(shè)備可能無法受到組織已實(shí)施的安全機(jī)制的妥善保護(hù)，從而帶來潛在風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的性質(zhì)取決于設(shè)備的連接方式和位置。連接到保存所有員工數(shù)據(jù)的人力資源系統(tǒng)的未經(jīng)授權(quán)的設(shè)備可能比連接到已適當(dāng)隔離的酒店大堂供客人使用的計(jì)算機(jī)的設(shè)備帶來更大的風(fēng)險(xiǎn)。然而，風(fēng)險(xiǎn)已經(jīng)存在，如果無法識(shí)別該設(shè)備，則可能無法采取適當(dāng)?shù)木徑獯胧?/span>

從這個(gè)角度來看，ID.AM-1 對(duì)整個(gè)企業(yè)都至關(guān)重要，應(yīng)該得到切實(shí)的應(yīng)用。回到 DDoS 防御概要，ID.AM-1 的具體應(yīng)用場(chǎng)景則更為具體。

一般來說，DDoS 僅對(duì)面向互聯(lián)網(wǎng)的系統(tǒng)構(gòu)成威脅。這通常包括網(wǎng)站、應(yīng)用服務(wù)器和網(wǎng)關(guān)路由器。在這種情況下，ID.AM-1 專門針對(duì)這些類型的設(shè)備，而實(shí)施該配置文件意味著確保這些設(shè)備已完全清點(diǎn)，作為企業(yè)整體設(shè)備識(shí)別和清點(diǎn)工作的一部分。

同樣的模式也適用于本概要中提出的其他子類別。換句話說，本概要應(yīng)在更廣泛的企業(yè)風(fēng)險(xiǎn)管理背景下實(shí)施，而非作為一種獨(dú)立的方法。

該配置文件使組織能夠采用框架并專注于一個(gè)主要威脅，這有助于分配資源以及衡量和報(bào)告受到威脅的系統(tǒng)對(duì) DDoS 的緩解程度。

從現(xiàn)在開始，組織如何使用配置文件將根據(jù)某些因素而有所不同，包括：

• 了解威脅及其對(duì)組織的潛在影響；
• 可用的財(cái)務(wù)、人力和知識(shí)資源；
• 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃和程序的成熟度；以及
• 組織將如何衡量結(jié)果。

首先，企業(yè)需要充分了解 DDoS 威脅對(duì)其意味著什么。評(píng)估真正的風(fēng)險(xiǎn)意味著要思考服務(wù)不可用將如何影響業(yè)務(wù)運(yùn)營(yíng)。當(dāng)客戶無法訪問您的電商網(wǎng)站時(shí)，這可能意味著收入損失。或者，這可能意味著關(guān)鍵業(yè)務(wù)合作伙伴無法連接到共享信息所必需的應(yīng)用程序接口。無論如何，如果不充分了解風(fēng)險(xiǎn)，就很難確定需要應(yīng)用哪些資源。

有了這樣的理解，接下來就必須結(jié)合現(xiàn)有資源來考量風(fēng)險(xiǎn)。不同組織的情況差異很大，對(duì)中小型企業(yè)的影響尤其大。這正是“優(yōu)先級(jí)”可以發(fā)揮作用的地方。首先，盡可能多地實(shí)施 P1 子類別，然后根據(jù)風(fēng)險(xiǎn)的演變逐步推進(jìn)。

組織現(xiàn)有網(wǎng)絡(luò)安全政策、程序和方案的成熟度至關(guān)重要。如果尚未實(shí)施基本的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，或者只是臨時(shí)性的，那么有效且高效地實(shí)施針對(duì) DDoS 攻擊的緩解措施將極具挑戰(zhàn)性。

最后，一旦DDoS緩解機(jī)制到位，重要的是確保組織流程得到實(shí)施，以便持續(xù)監(jiān)測(cè)和報(bào)告結(jié)果。這應(yīng)該包括：

• 嘗試進(jìn)行 DDoS 攻擊的次數(shù)以及緩解措施的成功程度；以及
• 定期審查新的 DDoS 緩解技術(shù)和服務(wù)，以確保根據(jù)風(fēng)險(xiǎn)制定最有效的機(jī)制。

在本節(jié)及整篇文檔中提出的高級(jí)指南框架內(nèi)，每個(gè)組織最終都會(huì)找到適合自身情況的方法來使用本概要。這正是本概要的初衷，并且與網(wǎng)絡(luò)安全框架的整體使用完全一致。

參考文獻(xiàn)

在制定本簡(jiǎn)介時(shí)考慮了以下參考信息：

• 聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì) (FFIEC) DDoS 聯(lián)合聲明
• FCC 通信安全、可靠性和互操作性委員會(huì) (CSRIC) WG-5 基于服務(wù)器的 DDoS 攻擊補(bǔ)救措施– 2014 年 9 月
• NIST SP 800-44 版本 2– 公共 Web 服務(wù)器安全指南 - 2007 年 9 月
• NIST SP 800-53 修訂版 4 - 聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制 - 2013 年 4 月
• IETF BCP 38- 網(wǎng)絡(luò)入口過濾：防御利用 IP 源地址欺騙的拒絕服務(wù)攻擊 - 2000 年 5 月
• IETF BCP 84- 多宿主網(wǎng)絡(luò)入口過濾 – 2004 年 3 月
• IETF RFC 4732- 互聯(lián)網(wǎng)拒絕服務(wù)注意事項(xiàng) – 2006 年 11 月
• IETF RFC 4778- 互聯(lián)網(wǎng)服務(wù)提供商環(huán)境中的當(dāng)前運(yùn)營(yíng)安全實(shí)踐 - 2007 年 1 月
• IETF RFC 5635- 使用單播反向路徑轉(zhuǎn)發(fā) (uRPF) 進(jìn)行遠(yuǎn)程觸發(fā)黑洞過濾 - 2009 年 8 月