DDoS攻擊襲擊你的企業(yè)的可能性取決于你的企業(yè)經(jīng)營(yíng)方式、攻擊者的突發(fā)奇想或者企業(yè)的競(jìng)爭(zhēng)對(duì)手。緩解攻擊的最佳方法是確保您有足夠的能力，冗余站點(diǎn)，商業(yè)服務(wù)分離以及應(yīng)對(duì)攻擊的計(jì)劃。

雖然你不能阻止所有的DDoS攻擊，還是有辦法可以限制它們的攻擊效力，讓你的企業(yè)更快修復(fù)。大多數(shù)攻擊都是瞄準(zhǔn)web應(yīng)用程序，他們只需簡(jiǎn)單地向目標(biāo)web應(yīng)用程序發(fā)送比其可以處理的更多的請(qǐng)求，讓它很難被訪問(wèn)者使用。

在DDoS攻擊中，大多數(shù)攻擊中并不關(guān)心系統(tǒng)和應(yīng)用程序是否崩潰了，雖然他們會(huì)對(duì)崩潰感到高興，他們的主要目標(biāo)是防止目標(biāo)公司提供的服務(wù)響應(yīng)來(lái)自合法用戶的請(qǐng)求，為受害公司制造問(wèn)題。

如果你有適當(dāng)?shù)谋O(jiān)控技術(shù)，那么就很容易發(fā)現(xiàn)DDoS攻擊。你的網(wǎng)絡(luò)操作中心(NOC)會(huì)顯示系統(tǒng)狀態(tài)：帶寬、每秒請(qǐng)求以及系統(tǒng)資源，如果突然或者在短時(shí)間內(nèi)，所有這些趨勢(shì)都上升，那么監(jiān)控系統(tǒng)就會(huì)發(fā)出警報(bào)。

在典型的企業(yè)中，這些事件將會(huì)促使NOC的升級(jí)，并且IT團(tuán)隊(duì)也會(huì)趕緊招募適當(dāng)?shù)娜藖?lái)處理。管理層也會(huì)收到通知說(shuō)網(wǎng)站和應(yīng)用程序不正常，所有人都會(huì)思考為什么突然請(qǐng)求出現(xiàn)激增。

第一步是分析這些請(qǐng)求的日志

你想要知道請(qǐng)求了什么以及請(qǐng)求的來(lái)源。對(duì)比新的請(qǐng)求和正常流量來(lái)判斷這些是否是合法負(fù)載。如果你的企業(yè)已經(jīng)將日志記錄集中化管理，那么事情就很好辦。但如果日志服務(wù)器跟不上，也超負(fù)載了，那么可能無(wú)法響應(yīng)你對(duì)日志的搜索。如果攻擊了你的應(yīng)用程序，被感染服務(wù)器的日志可能無(wú)法發(fā)送到日志系統(tǒng)。你將要從攻擊的開(kāi)始傳輸了哪些數(shù)據(jù)進(jìn)行分析。

第二步是解析這些日志以了解DDoS攻擊

獲取日志后，打開(kāi)歸類工具和解析工具，獲取日志后，打開(kāi)歸類工具和解析工具，首先，你需要確定DDoS攻擊是如何進(jìn)行的。DDoS攻擊是否發(fā)送數(shù)據(jù)到遠(yuǎn)程系統(tǒng)沒(méi)有打開(kāi)的端口，從而消耗防火墻資源?是否反復(fù)請(qǐng)求特定的URL?或者是否只是簡(jiǎn)單地發(fā)送Get / HTTP/1.1請(qǐng)求到web服務(wù)器?

通過(guò)企業(yè)監(jiān)控，可以確定負(fù)載應(yīng)用的位置。如果你的防火墻的負(fù)載很大，而web服務(wù)器沒(méi)有，則說(shuō)明是第一種類型的攻擊。如果web服務(wù)器在處理請(qǐng)求方面速度很慢，防火墻在處理負(fù)載，比平時(shí)更高的資源利用率，那么web應(yīng)用程序應(yīng)該被直接攻擊了。

第三步是確定關(guān)鍵因素

知道DDoS攻擊媒介后，將需要配合日志信息以確定幾個(gè)關(guān)鍵因素。通過(guò)查看日志，你可以確定DDoS攻擊工具做了什么。無(wú)論請(qǐng)求發(fā)送給web應(yīng)用程序還是由防火墻處理，你尋找的數(shù)據(jù)是相同的。違反常規(guī)的請(qǐng)求。查看日志可以很清楚的看出DDoS攻擊的部分，因?yàn)闀?huì)有很高數(shù)量的類似請(qǐng)求或者請(qǐng)求樣式組合在一起。例如，可能會(huì)有1萬(wàn)個(gè)請(qǐng)求試圖訪問(wèn)一個(gè)URL，或者可能有個(gè)端口失效。

在某些情況下，分布式工具可能會(huì)改變他們的要求。但是，一般情況下，你會(huì)看到對(duì)相同的資源的請(qǐng)求，來(lái)自相同的來(lái)源，組合在一起，例如對(duì)不存在的網(wǎng)址反復(fù)發(fā)送請(qǐng)求。確定DDoS攻擊使用的請(qǐng)求。如果在所有攻擊節(jié)點(diǎn)都是相同的，你將能夠找到攻擊者，區(qū)分合法流量。

你只要弄清楚了請(qǐng)求的樣式，你就能確定攻擊者。找到發(fā)送最高量和最快請(qǐng)求的攻擊節(jié)點(diǎn)，這些都是比較大的攻擊者。知道最常見(jiàn)的請(qǐng)求以及其來(lái)源后，你就可以開(kāi)始行動(dòng)了。筆者經(jīng)常聽(tīng)到重命名被感染資源(例如URL或者主機(jī)名)的建議，但這樣只會(huì)導(dǎo)致攻擊者重構(gòu)他們的DDoS攻擊，或者攻擊新的資源。

這種策略只有當(dāng)攻擊者調(diào)用合法的web應(yīng)用程序URL(執(zhí)行一些資源密集型工作，例如大型數(shù)據(jù)庫(kù)查詢)才行得通。在這種情況下，修改應(yīng)用程序，執(zhí)行屏幕確認(rèn)或者執(zhí)行攻擊者的工具無(wú)法理解的重定向(例如CAPTCHA或者具有用戶確認(rèn)和重定向的Flash應(yīng)用程序)可以減小攻擊的影響。不幸的是，在大多數(shù)情況下，攻擊者只會(huì)改變他們的攻擊。

第四步是來(lái)源過(guò)濾、連接和速率限制

在嘗試過(guò)這些初始步驟后，下一步應(yīng)該是來(lái)源過(guò)濾、連接和速率限制。如果我們可以阻止最大的攻擊者并減慢其他攻擊者，那么我們就可以大大減小DDoS攻擊的影響。為了成功發(fā)動(dòng)攻擊，攻擊者的節(jié)點(diǎn)必須超過(guò)我們的生產(chǎn)集群在給定時(shí)間內(nèi)所能夠處理的請(qǐng)求數(shù)量。如果我們能夠阻止一些攻擊節(jié)點(diǎn)，那么我們就可以減少系統(tǒng)的負(fù)載，讓我們有時(shí)間阻止更多攻擊，通知網(wǎng)絡(luò)供應(yīng)商，轉(zhuǎn)移服務(wù)等。

為了保護(hù)大部分基礎(chǔ)設(shè)施，最好盡可能的在靠近網(wǎng)絡(luò)邊緣的位置應(yīng)用過(guò)濾器。如果你可以說(shuō)服網(wǎng)絡(luò)服務(wù)供應(yīng)或者數(shù)據(jù)中心在他們的設(shè)備部署過(guò)濾器，將更便于阻止DDoS攻擊。

如果你必須在你的設(shè)備上部署過(guò)濾器，或者你需要等待上游供應(yīng)商的響應(yīng)才能開(kāi)始，那么則可以從邊緣設(shè)備開(kāi)始，逐漸向后蔓延。使用所有合適的工具來(lái)過(guò)濾請(qǐng)求，減小對(duì)系統(tǒng)的影響。路由器、負(fù)載平衡器、IPS、web應(yīng)用程序防火墻，甚至系統(tǒng)本身都可以拒絕部分請(qǐng)求。

第一個(gè)過(guò)濾器應(yīng)該過(guò)濾來(lái)自發(fā)送最多請(qǐng)求的攻擊者的所有連接。向你的訪問(wèn)控制列表(ACL)應(yīng)用此規(guī)則。當(dāng)然，邊緣設(shè)備不應(yīng)該接受發(fā)送到其接口的流量，并且不應(yīng)該響應(yīng)數(shù)據(jù)包。如果它們這樣做的話，將會(huì)成為攻擊者額外的攻擊目標(biāo)。

第五步是根據(jù)來(lái)源來(lái)限制連接的速率

這能夠阻止來(lái)自超過(guò)連接限制的主機(jī)的任何新連接請(qǐng)求。查看日志，將速度限制設(shè)置為低于每個(gè)間隔發(fā)送請(qǐng)求的平均數(shù)量。如果你不確定那些日志條目是攻擊者，哪些是合法的，則可以使用最大請(qǐng)求發(fā)送者的請(qǐng)求速率作為出發(fā)點(diǎn)。因?yàn)樽畲蟀l(fā)送者發(fā)送請(qǐng)求的速率肯定大于平均值。

此外，你還可以調(diào)整主機(jī)和邊緣設(shè)備以更快的速度來(lái)清除空閑會(huì)話以獲取更多資源。但是不能太過(guò)頭，以免花費(fèi)太多資源來(lái)建立和拆除連接。通過(guò)阻止來(lái)源和限制速率，已經(jīng)能夠大大緩解DDoS攻擊的影響。如果攻擊者仍然繼續(xù)攻擊，看不到盡頭，IT團(tuán)隊(duì)則應(yīng)該將重點(diǎn)轉(zhuǎn)移到保護(hù)其他企業(yè)資源上。

通常情況下，攻擊者會(huì)針對(duì)一個(gè)特定的主機(jī)，應(yīng)用程序或網(wǎng)絡(luò)。轉(zhuǎn)移這些資源的流量到另一個(gè)位置，或者阻止流量，將可以保存后端系統(tǒng)的負(fù)載，但是也會(huì)影響你的服務(wù)，這也正是攻擊者的目標(biāo)。將受到攻擊的服務(wù)與其他服務(wù)進(jìn)行分隔也是個(gè)好主意。如果能夠分離感染的服務(wù)的話，至少企業(yè)不會(huì)完全崩潰。

DDoS攻擊深深地影響著企業(yè)的正常運(yùn)營(yíng)，首席執(zhí)行官關(guān)心的是收入損失以及負(fù)面新聞;IT部門對(duì)崩潰的應(yīng)用程序和長(zhǎng)時(shí)間加班感到煩惱。如果你通過(guò)互聯(lián)網(wǎng)提供服務(wù)，那么你就是一個(gè)潛在的DDoS攻擊目標(biāo)。

【編輯推薦】

1. 黑客實(shí)施DDOS攻擊你了解多少？
2. 讓你的網(wǎng)站遠(yuǎn)離DDOS攻擊器和CC攻擊器
3. 做足日常工作 防御DDoS攻擊方法分享
4. 應(yīng)用防火墻能否擊敗DDoS攻擊
5. 應(yīng)對(duì)DDOS攻擊需要“多管齊下”