雖然DDoS（分布式拒絕服務攻擊）早已是黑客的重量級武器，但其性質和影響卻是今非昔比了。它已經成為眾多通過網絡從事業務的公司的重要威脅，它變得更強大、更具有針對性，也更加復雜，會嚴重的影響企業的信譽。而且，一些業余黑客也能夠發動該攻擊，或者利用僵尸網絡為其工作。

由于DDoS已經發生了明顯的變化，傳統的DDoS減輕策略，如提供充足帶寬，防火墻，入侵防御系統等設備都無法充分保護企業網絡、應用程序和服務。本文在充分總結世界知名企業挫敗DDoS攻擊和其它攻擊的基礎上，提出了可以幫助企業有效應對DDoS攻擊，同時最小化其對企業運營影響的六大最佳方法。

DDoS的變化

為什么成千上萬的公司花費大量的人力物力苦苦維護和恢復其網絡服務，但每年仍有大量公司由于DDoS攻擊而喪失大量的金錢？下面這些變化使得DDoS攻擊更猖獗也更具有破壞性。

1、日益復雜的策略

臭名昭著的七月四日攻擊是由一種定制的僵尸發起并配合SYN、PING、GET洪水等來實施的。這些攻擊針對政府部門和私有企業。雖然這些攻擊的重量級并不高（每秒平均39兆字節），但它使用了200000個僵尸，這就極大地增強了其攻擊的影響和范圍。除了這種直接的洪水攻擊（此攻擊將大量的欺騙性數據包直接發送給受害者），攻擊者還在日益使用反射洪水攻擊。在反射洪水攻擊中，攻擊者使用遞歸DNS服務器來向受害者發動攻擊，并在攻擊過程中不斷地強化攻擊從而使得追蹤攻擊源更加困難。

2、針對性的與隨機的受害者

雖然過去的多數攻擊都是隨機的，但當今的攻擊常常專門對付一家企業或其一個部門或更小的一個部分。更糟的是，攻擊者往往會搞垮與其沒有直接矛盾的網站，其目的僅僅是為了擴大對第三方目標的影響。例如，分析師們相信，2009年針對Facebook的DDoS攻擊，其設計目的竟然是為了阻止該社交網站的某個用戶。而Facebook只不過是其一個間接的受害者。

3、偷偷地利用應用程序的漏洞進行攻擊

網絡罪犯可以不必采用強力攻擊來搞垮整個網絡，而是執行微妙的應用程序級攻擊來模仿合法的通信。這些攻擊運行在一個應用程序或應用程序服務器活動的正常閾值范圍之內，這就使得基于閾值的檢測工具難以檢測它。目前為止，受攻擊的主要應用程序目標都是常用的軟件和網絡技術中的漏洞。然而，針對定制的應用程序的攻擊也逞上升趨勢。

4、初級工具

即使擁有很少技術或技能的人也可以發動DDoS攻擊。在互聯網上很容易就可以找到低成本的僵局網絡租用廣告，一個網站提供的僵局網絡就可以發動10到100Gbps的攻擊，而其每天的花費卻不多。想成為攻擊者的人也可以與其他人合作，使用“群體外包”策略。例如，針對Twitter的“綠色革命”攻擊就采用了此策略。在這次攻擊中，Twitter用戶將鏈接粘貼到“攻擊池”（例如，高容量的頁面重載）中，由此可以招集反政府力量摧毀政府網站。雖然“群體外包”策略需要不斷地激勵很多人，并且難以維持，但這種攻擊起碼體現出：任何人都可以輕易地發動一次攻擊。

5、每秒發送數以百萬計的數據包

網絡犯罪份子可以利用成千上萬的“肉機”的處理能力和帶寬，形成能夠每秒發送數以百萬計的數據包的僵局網絡，這幾乎可以擊垮任何大型的網絡。這種攻擊的重量級要比十年前強大一百倍。

減輕DDoS攻擊面臨的挑戰

雖然許多企業日益關注DDoS攻擊，但很少有企業部署專門的DDoS保護機制。那些能夠暫時解決DDoS攻擊的企業往往依賴于不具備快速減輕攻擊能力和靈活性的方法。

盡管下面這些措施得到廣泛應用，但對多數企業而言，只靠這些措施來抵擋當今變化多端的大型DDoS攻擊是遠遠不夠的。

1、過度配置帶寬

雖然提供過度的帶寬是最常見的對抗DDoS的措施之一，但事實上，這樣做既無成本效益也不高效可行。對于企業來說，提供高于其需要處理峰值負載的額外75%的帶寬是很少見的，而且一旦攻擊超過了所提供的帶寬數量，過度配置帶寬就無效了。此外，過度提供的帶寬僅能解決網絡級的攻擊，而不能應對應用程序級或操作系統級的攻擊。由于現代的攻擊每秒鐘能夠攜帶一百萬個數據包，即使配置再好的網絡也會被擊垮。

2、防火墻

雖然防火墻過去常用來對付DoS（拒絕服務攻擊），且完全夠用，但是僵尸網絡等攻擊手段降低了在網絡邊緣阻止攻擊的有效性。使用防火墻來減輕DDoS攻擊可能會導致CPU的利用達到峰值，并耗盡內存資源。此外，防火墻并沒有異常檢測能力。

3、入侵檢測系統（IDS）

入侵檢測設備一般位于防火墻之后，其設計目的是為了檢測某種惡意的數據包。無論IDS還是IPS，其設計目的都不是為了應對海量的攻擊。將其用于減輕DDoS攻擊會對其入侵檢測的本來功能產生影響。此外，在IDS檢測到異常而發出警告時，攻擊通信已經在消耗互聯網帶寬，嚴重影響網絡功能，導致CPU的利用達到峰值，并耗盡內存資源。

4、入侵防御系統（IPS）

入侵防御系統有能力作為一種異常檢測器而工作，不過，IPS可能需要花幾星期時間才能理解正常的通信模式，然后，企業或其IPS廠商必須再花幾天時間進行人工調整，指定應當準許哪些通信，應當阻止哪些通信或對哪些通信發出警告。所以，威脅簽名的更新往往來得太晚，無法阻止DDoS攻擊。此外，許多IPS設備依賴于特定廠商的威脅信息，所以這種設備并沒有得到調整和更新，無法解決全部威脅，其中就包括DDoS攻擊簽名。最后，IPS設備受到TCP會話數量的限制，還受到它在特定時間能夠處理的帶寬數量的限制。在負載超過其負荷時，它就會“宕機”。

5、路由器

路由器無法阻止欺騙性IP源（這正是DDoS攻擊包的最主要源頭），也無法人工追蹤成千上萬的IP地址，這就使得ACL（訪問控制列表）無法有效對付DDoS攻擊。

6、依賴互聯網服務供應商來減輕DDoS攻擊

許多企業并不特別關注服務等級約定（SLA）、攻擊報告、帶寬能力、黑洞路由以及第三方DDoS減輕方案的其它細節，而是認為其ISP供應商會提供DDoS保護。這種依賴是很危險的。#p#

減輕DDoS攻擊危害的六大最佳方法

成功減輕DDoS攻擊的基礎包括：知道監視什么、全天候地監視這些征兆、有技術和能力來確認和減輕DDoS攻擊，同時又允許合法的通信到達目的地，并擁有實時的正確解決問題的技能和經驗。下面討論的最佳方法就反映了這些原則。

最佳方法一：實現數據收集集中化，并理解其趨勢

1、集中化監視

運用集中化監視功能，實現在一個位置就可以監視整個網絡及通信模式；將通信的監管限制由一個小團隊負責，以保持監管的連續性。

2、理解正常網絡的通信模式

為建立進入企業的正常通信的基準，企業應當定期收集來自交換機、路由器及其它設備的樣本數據包和其它有關信息。需要知道進入了哪些類型的通信（例如， SMTP、HTTP和HTTPS等）、何時進入（是每個星期三，還是每個月的第一天等）、從何處進入、進入了多少等。建立一個包含超過一年的正常通信模式的監視地圖，并將此信息整合到一個用于威脅檢測、警告和報告的相關引擎中。

3、跟蹤全世界的DDoS歷史趨勢和威脅情報

對全球的攻擊模式進行持續的跟蹤和分析，快速驗證潛在的攻擊和新出現的攻擊，并將吸取的教訓納入到適當的事件響應中。使用現有的情報查找預定義的反常問題（即分析簽名）。使內部的情報收集與第三方情報供應商的情報相互補充，參與到業界的安全團體和論壇中，其中的信息共享有助于揭示異常活動。

4、實施專門的DDoS警告、日志、報告系統

確保所發出的警告能夠告知安全管理員DDoS攻擊的跡象，其中包括未必是基于攻擊數量的攻擊。實施一種日志和相關系統，收集可用于預防未來攻擊的詳細攻擊數據。實施一種明確的過程，用于收集并評估事務、通信的總體狀況、應用程序、協議、事件的報告。記住，事務報告與通信報告一樣重要。例如，如果所預計的事務數量發生銳減，這比通信量的增加能更有力地表明可疑活動的存在。

5、與經驗豐富的安全研究人員協同工作

如果企業并不知道怎樣處理數據，即使最好的監視、檢測、警告、日志和報告設備也是無用的。安全研究人員應當親身實踐，能夠區分可疑通信與合法通信，并隨著形勢的變化而改變應對策略。

最佳方法二：定義一個明確的不斷升級的發展路線

系統化的程序和方法對于有效減輕DDoS攻擊是必不可少的。下面給出四大步驟：

1、定義一套標準的事件響應操作程序

在制定操作程序時，要考慮內部的基礎架構、服務、應用程序以及可能受到影響的客戶和合伙人資源。如果有必要，制定個別的標準化操作程序，以解決特定類型的攻擊或受到攻擊的特定資源。定期審查標準作業程序，并進行定期的“演習”，確保標準操作程序保持最新，并能正確發揮功能。

2、組建事件響應團隊

不要等到發生攻擊事件的凌晨才開始決定應當聯系哪些人。應當準備、發布、經常更新逐步升級的聯系人清單，其中包括用于內部團隊、相關客戶、廠商、合伙人、上游供應商（如應用程序服務供應商（ASP））的信息。如果你依賴一個互聯網供應商（ISP）來減輕DDoS攻擊，除非貴公司是一家大型公司，否則，你的服務請求有可能與其它公司的請求一起在排隊等候。

3、解決不同職能部門的范圍問題

由于DDoS攻擊的防護與業務的連續性息息相關，因而它是一個全局性的目標。要確認職能部門和職責重疊的具體領域。必須打破不同部門（如網絡團隊和信息安全團隊）之間的壁壘，澄清事件響應的角色和職責，并強化責任。

4、為“宕機時間（因故障而造成的停機時間）”做好準備

要理解哪些系統對于企業是生死攸關的，并且為網絡或服務的故障而制定和測試三個計劃：短期、中期、長期的連續性計劃。#p#

最佳方法三：使用分層過濾

減輕DDoS攻擊的目標，是用最小的延遲排除惡意的非法通信，僅允許合法的通信進入網絡。實現此目標最有效方法是，使用一種可以利用前文所述的所有方法的多層過濾驗證過程。

1、分層過濾通信

使用簽名分析、動態分析（根據對正常行為的監視和分析）、反欺騙算法等技術來主動過濾網絡上游的有害通信。

2、在OSI堆棧的多層上都應用過濾器

雖然通過在網絡層上實施過濾器就可以減少某些攻擊，但是當代的攻擊更復雜和深入，我們需要在包括應用層的多層上都進行分析和過濾。

3、必要時可限制通信速率

為防止“低容忍”的資源發生癱瘓，根據帶寬的并發連接數量，可在必要時運用限制通信速率的能力。

4、能夠快速改變和定制過濾器

在必要時，能夠快速應用和清除標準過濾器（即簽名），也可以根據網絡遭受的攻擊變化來生成定制的過濾器。

5、隨著時間的推移而強化規則集

分析境內外的多種情報、監視、警告和報告日志，然后使用這些信息來不斷地更新規則集。

最佳方法四：構建可擴展性和靈活性

為確保在遭受攻擊的條件下，系統能夠正常發揮功能，企業必須擁有一個高擴展性的、靈活性的基礎架構。

1、按需定制的能力

這種能力包括帶寬以及硬件處理能力，以及需要處理通信負載的可擴展性。充足的能力至關重要，但要想在一個企業內部維持充足的能力卻非常困難，并且常常是不現實的。例如，提供過度的帶寬來吸收海量攻擊需要花費大量的金錢去購買額外的帶寬，甚至有可能還需要購買服務器。此外，在當今的環境中，過度配置帶寬也往往是不夠的，因為DDoS攻擊的規模正以驚人的速度增長，而企業網絡到互聯網連接的速率一般是1Gbps及其以下。

2、找到臨界點

要了解你的基礎在遭受攻擊的情況下是如何動作的。確定通信的特征，并確認哪些組件在面臨沉重負載時會首先垮掉。例如，知道在哪個時點上防火墻或Web服務器會發生故障，知道哪些數據包或查詢在某系統上所造成的后果比其它系統更嚴重。要在鏡像生產環境中測試各種情況，而不僅僅是預報，并在改變了基礎架構的任何部分后重新進行測試。

3、對基礎架構建立負載平衡

一旦確認了臨界點，下一步就應當對基礎架構建立負載平衡，其目標是優化正常負載和峰值負載情況下的通信流。

4、考慮監視工具的可擴展性

必須保證在高負載的情況下，監視工具仍能繼續工作。在有些消耗帶寬的DDoS攻擊中，監視往往名存實亡，甚至還會報告錯誤數據。例如，有些監視工具只能報告相同的值，因為它無法報告更高級的東西。

5、增強硬件和軟件的多樣性

并不是要構建多么復雜的IT環境，而是為了防御某些DDoS攻擊針對特定廠商硬件和軟件，因而不妨從多個廠商購買硬件和軟件工具。

6、利用分布式模式

如果可能，利用一種分布式模式來為高價值的應用和服務構建和維持冗余性。