毫無疑問，近期策劃重大(Big)DDoS攻擊的(Of)那些人(People)對互聯網的(Of)内部運作(Do)原理有着深入了(Got it)解。由于(At)攻擊者對這(This)些專業知識的(Of)掌握了(Got it)解，以(By)及一(One)些重要(Want)互聯網協議缺少基本安全保障，導緻當談到保護企業自身安全和(And)防範這(This)種類型的(Of)攻擊時(Hour)，許多的(Of)企業處于(At)劣勢。

這(This)就是(Yes)爲(For)什麽許多企業、政策和(And)行業組織一(One)直緻力于(At)制定廣泛的(Of)行業計劃，減小危害巨大(Big)的(Of)DDoS攻擊的(Of)發生率。在(Exist)大(Big)多數國(Country)家，已通過了(Got it)宣布DDoS攻擊爲(For)非法的(Of)法律，比如美國(Country)的(Of)《計算機欺詐和(And)濫用(Use)法案》以(By)及英國(Country)的(Of)《計算機濫用(Use)法案》，但是(Yes)立法對網絡犯罪起不(No)了(Got it)多大(Big)的(Of)威脅效果。

本文将主要(Want)探讨如何減小DDoS攻擊的(Of)發生率和(And)破壞力，以(By)及如何結合使用(Use)内部和(And)基于(At)雲的(Of)DDoS緩解控制措施，盡量減小日益複雜的(Of)DDoS攻擊對企業業務造成的(Of)幹擾和(And)破壞。

評估DDoS攻擊的(Of)威脅

DDoS攻擊的(Of)破壞力很大(Big)，足以(By)威脅到整個(Indivual)國(Country)家的(Of)關鍵基礎設施，這(This)個(Indivual)事實可以(By)解釋爲(For)何諸多政府部門在(Exist)開始要(Want)求：必須制定DDoS緩解方案。比如說，受聯邦金融機構檢查委員會監管的(Of)金融機構現在(Exist)必須監控無無遭到DDoS攻擊，要(Want)有随時(Hour)就能激活的(Of)事件響應方案，并确保在(Exist)攻擊持續期間有足夠的(Of)人(People)手，包括求助事先簽好的(Of)第三方服務，如果有的(Of)話。還鼓勵金融機構将攻擊方面的(Of)詳情上(Superior)報金融服務信息共享和(And)分析中心以(By)及執法部門，幫助其他(He)機構識别和(And)緩解新的(Of)威脅及手法。

針對DDoS攻擊等網絡威脅的(Of)全球合作(Do)在(Exist)加強。由于(At)僵屍網絡是(Yes)一(One)大(Big)威脅及常見的(Of)DDoS武器，聯邦調查局(FBI)和(And)國(Country)土安全部與另外100多個(Indivual)國(Country)家共享了(Got it)他(He)們認爲(For)被感染了(Got it)DDoS惡意軟件的(Of)成千上(Superior)萬台計算機的(Of)IP地址。白宮網絡安全辦公室、商務部、國(Country)土安全部以(By)及行業僵屍網絡組織也在(Exist)緊密地合作(Do)，共同對付和(And)打擊僵屍網絡。打掉僵屍網絡無疑有助于(At)改善安全形勢，但這(This)是(Yes)一(One)項永遠不(No)會結束的(Of)任務。

實施DDoS緩解控制措施，對DDoS攻擊說不(No)!

針對分布式拒絕服務的(Of)緩解方案不(No)可忽視，因爲(For)這(This)種攻擊的(Of)頻率和(And)複雜性給更多的(Of)企業組織構成了(Got it)威脅。如今的(Of)DDoS攻擊結合了(Got it)大(Big)強度的(Of)蠻力攻擊和(And)應用(Use)程序層攻擊，盡量造成最大(Big)程度的(Of)破壞，并躲避檢測機制。有些DDoS攻擊利用(Use)了(Got it)成千上(Superior)萬中招的(Of)系統或Web服務，會給企業在(Exist)成本和(And)聲譽方面極其重大(Big)的(Of)破壞，拒絕服務日益成爲(For)高級針對性攻擊的(Of)一(One)部分。好消息是(Yes)，你可以(By)使用(Use)好多工具，盡量減小這(This)種類型的(Of)攻擊給客戶和(And)收入造成的(Of)影響。

想緩解DDoS，首先就要(Want)确保你已定義了(Got it)事件響應流程，并且明确了(Got it)責任，這(This)就需要(Want)多個(Indivual)小組通力合作(Do)。DDoS防範規劃需要(Want)安全團隊與網絡操作(Do)人(People)員、服務器管理員和(And)桌面支持人(People)員以(By)及法律顧問和(And)公關經理攜起手來。

一(One)旦DDoS事件響應方案落實到位，你就可以(By)關注四大(Big)方面的(Of)DDoS緩解控制措施，盡量減小DDoS攻擊給業務造成的(Of)幹擾和(And)破壞。在(Exist)此按重要(Want)性順序排列：

•互聯網服務提供商(ISP)。大(Big)多數ISP都有“潔淨的(Of)網絡管道”(Clean Pipe)或DDoS緩解服務，收費通常要(Want)比标準的(Of)帶寬成本高一(One)些。基于(At)ISP的(Of)服務對許多中小企業來說很管用(Use)，也符合預算方面的(Of)要(Want)求。别忘了(Got it)一(One)點：雲服務提供商和(And)主機托管商也是(Yes)ISP。

•DDoS緩解即服務提供商。如果你有多家ISP，第三方DDoS緩解即服務提供商也許是(Yes)一(One)種更明智的(Of)選擇，不(No)過基于(At)雲的(Of)服務通常成本更高。如果改變DNS或BGP路由，讓攻擊流量通過DDoS SaaS提供商來發送，你就能過濾掉攻擊流量，無論哪家ISP來爲(For)你處理。

•專用(Use)的(Of)DDoS緩解設備。你可以(By)在(Exist)互聯網接入點部署DDoS緩解設備，以(By)此保護服務器和(And)網絡。不(No)過，蠻力攻擊可能仍會耗盡你的(Of)所有帶寬――即使服務器沒有崩潰，客戶們仍無法正常訪問。

•基礎設施部件：比如負載均衡系統、路由器、交換機和(And)防火牆。依賴貴企業的(Of)操作(Do)基礎設施來緩解DDoS攻擊是(Yes)注定失敗的(Of)策略，隻能對付最軟弱無力的(Of)攻擊。然而，這(This)些部件在(Exist)協同緩解DDoS方面卻能夠發揮作(Do)用(Use)。

大(Big)多數企業需要(Want)外部服務和(And)内部DDoS緩解能力結合起來。對你員工的(Of)技能水平作(Do)一(One)個(Indivual)切合實際的(Of)評估――要(Want)是(Yes)你手下有IT安全人(People)員能檢測并分析威脅，先從内部DDoS緩解開始入手，然後逐漸完善策略，加入外部服務。要(Want)是(Yes)你沒有足夠的(Of)人(People)手或者所需的(Of)技能組合，不(No)妨從外部服務開始入手，考慮将來添加托管CPE(用(Use)戶端設備)緩解能力。

無論你最後選擇了(Got it)哪種架構，每年都要(Want)至少測試兩次DDoS緩解控制措施。如果你借助外部服務提供商，就要(Want)核對路由和(And)DNS方面的(Of)變化，确保流量會傳送到外部服務，不(No)會有重大(Big)幹擾――另外還要(Want)确保能順利切回到直接路由。網絡配置和(And)DNS路由在(Exist)正常操作(Do)期間常常變動――你要(Want)在(Exist)實際的(Of)DDoS攻擊之前弄清楚這(This)一(One)點。

防止DDoS攻擊

想防止DDoS攻擊，長期的(Of)解決辦法就是(Yes)加強攻擊者用(Use)來發動攻擊的(Of)互聯網協議，并且要(Want)求升級系統，以(By)便得益于(At)最佳實踐。比如說，許多DDoS攻擊之所以(By)能得逞，就是(Yes)因爲(For)攻擊者通常借助上(Superior)當受騙的(Of)源IP地址來生成流量。IETF Best Common Practices文檔BCP 38建議：網絡操作(Do)人(People)員應對從下遊客戶進入其網絡的(Of)數據包進行過濾，丢棄源地址不(No)在(Exist)其地址範圍内的(Of)任何數據包。這(This)樣可以(By)讓黑客無法發送聲稱來自另一(One)個(Indivual)網絡的(Of)數據包(即欺詐攻擊)。不(No)過，按BCP 38的(Of)要(Want)求來做需要(Want)一(One)筆支出(Out)，卻沒有立竿見影的(Of)效果，因而盡管有益于(At)更廣泛的(Of)社區，卻沒有全面實施起來。

網絡管理員們可以(By)确保自己遵守其他(He)最佳實踐，從而加強互聯網的(Of)總體安全。比如說，他(He)們應該熟悉國(Country)土安全部頒布的(Of)DDoS快速指南(DDoS Quick Guide)，還應該落實開放解析器項目(Open Resolver Project)等項目給予的(Of)建議。開放解析器可以(By)回複針對域外主機的(Of)遞歸查詢，因而用(Use)于(At)DNS放大(Big)DDoS攻擊中。該項目已列出(Out)了(Got it)2800萬個(Indivual)構成重大(Big)威脅的(Of)解析器，并提供了(Got it)詳細指導，教人(People)們如何配置DNS服務器，以(By)減小DNS放大(Big)攻擊的(Of)威脅。

與往常一(One)樣，若能确保已安裝了(Got it)軟件的(Of)最新版本，系統不(No)大(Big)容易受到黑客的(Of)攻擊，黑客經常企圖利用(Use)其資源作(Do)爲(For)DDoS攻擊的(Of)一(One)部分。

雖然金融機構等大(Big)企業是(Yes)某些攻擊者眼裏的(Of)明顯目标，但它們至少有财力和(And)資源來采用(Use)最新的(Of)安全技術和(And)最佳實踐。不(No)過，資源有限的(Of)小企業仍然面臨可能很強大(Big)的(Of)對手。這(This)也是(Yes)谷歌啓動護盾項目(Project Shield)的(Of)原因之一(One)：

好讓那些運行新聞、人(People)權或選舉方面網站的(Of)組織機構可以(By)通過谷歌龐大(Big)的(Of)DDoS緩解基礎設施來發布其内容。這(This)種類型的(Of)計劃主要(Want)旨在(Exist)确保潛在(Exist)的(Of)受害者有足夠的(Of)資源來抵禦攻擊，從而消除DDoS攻擊的(Of)影響。

全面共享DDoS緩解資源、實施行業最佳實踐可能很費時(Hour)間和(And)資源，而且可能無法立即帶來回報，但是(Yes)互聯網是(Yes)個(Indivual)整體性的(Of)社區項目，打擊DDoS攻擊是(Yes)大(Big)家共同的(Of)責任。除非人(People)人(People)都出(Out)一(One)份力，否則再多的(Of)計劃也無法讓我們擺脫該死的(Of)DDoS攻擊。