盡管互聯(lián)網安全技術不斷進步，但拒絕服務(DoS)攻擊仍然肆無忌憚地影響著很多企業(yè)的運作。沒有人想成為DoS攻擊的目標，在攻擊發(fā)生之前，企業(yè)必須制定一個DoS攻擊響應計劃以防萬一。這種業(yè)務連續(xù)性計劃不僅應該包含技術步驟，一個全面的DoS攻擊防御計劃還必須明確在某些情況下如何繼續(xù)業(yè)務。

在本文中，我們根據(jù)最近發(fā)生的DoS攻擊來分析DoS威脅的廣度和深度，以及如何從技術角度預防DoS攻擊，我們還將介紹能夠更快處理問題的關鍵業(yè)務及通信戰(zhàn)略。

DoS威脅的廣度和深度

在著名的2000 Mafiaboy DDoS攻擊(主要針對雅虎、易趣、CNN和亞馬遜網站)之前，DoS攻擊就已經出現(xiàn)了，然而，自那以后，DoS攻擊發(fā)生了顯著的改變。Mafiaboy 攻擊時期的大多數(shù)工具都需要一定水平的專業(yè)技術，但用JavaScript編寫的更現(xiàn)代的工具出現(xiàn)后，幾乎任何人都可以發(fā)動DoS攻擊。臭名昭著的黑客組織Anonymous在他們的DDoS攻擊中就是用了這種工具。這些攻擊工具發(fā)動的攻擊屬于基本的IP和應用程序級的攻擊。

當他們有很多攻擊節(jié)點時(或者稱之為僵尸網絡)，DoS攻擊仍然是最有效的攻擊。這是因為企業(yè)很難阻止大量來源，而單個系統(tǒng)需要的帶寬很低，所以即使是只有互聯(lián)網連接很慢的系統(tǒng)都可以被利用。

DoS攻擊應對準備：業(yè)務規(guī)劃

DoS攻擊業(yè)務的準備工作應該包括溝通、業(yè)務連續(xù)性規(guī)劃和IPS。如果企業(yè)的網站托管給了外部托管供應商，企業(yè)必須確保該供應商有能力及時響應DoS攻擊。無論使用什么工具，供應商必須知道如何有效地使用其工具以及制定有效的步驟。一些在短期內減小DoS攻擊影響的措施如果在攻擊后沒有刪除的話，可能會對長期防御工作有負面影響，。

企業(yè)應該將DoS攻擊響應服務寫進與供應商的合同中，甚至還可以將響應服務寫進服務水平協(xié)議(SLA)中。例如，企業(yè)可以確保SLA規(guī)定了應該記錄響應時間，因為更快地響應時間意味著更小的停機時間。

在協(xié)商合同細節(jié)時，還應該對費用和任何額外的使用費進行預先協(xié)商，提前這樣做可以防止供應商在攻擊事故期間收取額外的服務費用。使用SLA還可以確保ISP或者托管服務供應商滿足可用性要求，例如99.9%的正常運行時間。

此外，在規(guī)劃DoS攻擊響應計劃時，企業(yè)的計算機安全事件響應小組(CSIRT)應該與業(yè)務部門(包括業(yè)務運營的關鍵決策者)建立聯(lián)系以確保發(fā)生事故時，利益相關者將得到通知。關鍵決定者應該能夠在最糟糕的情況下確定和決定斷開互聯(lián)網連接，或者斷開部分互聯(lián)網連接。禁用互聯(lián)網連接可能需要高管簽名，但是阻止個別網絡可以由CSIRT來做出決定。此外，還應該與相關內部部門建立聯(lián)系，包括市場營銷或公共關系部門，這樣這些部門就可以與媒體溝通有關DoS 攻擊的問題。建立這些溝通渠道還可以幫助確定關鍵決策者，例如能夠授權購買新的DoS保護設備來減小攻擊影響的人。

#p#

DoS攻擊應對準備：技術響應

對于任何事件，包括DoS攻擊的響應方案，準備工作都是快速緩解問題的關鍵。準備工作取決于攻擊類型以及互聯(lián)網的情況。技術準備可以分為網絡和網絡基礎設施兩部分，包括識別、響應和監(jiān)控。確定DoS攻擊可以是很簡單的，例如客戶發(fā)郵件表示他們不能使用你的網站，也可以是很復雜的，例如帶寬監(jiān)控工具報告顯示你的WAN鏈接過度使用。

在獲知可能遭受攻擊后，調查受到攻擊的基礎設施以確定最有效的響應。通過查看IDS、流量數(shù)據(jù)、服務器日志、應用程序日志或者其他網絡數(shù)據(jù)，找到高使用率模式，來確定受到攻擊的具體的服務器或者應用程序。如果web應用程序受到攻擊，應該立即將網站轉移到另一個托管供應商、服務器或者網絡，或者部署DoS保護工具來確保業(yè)務連續(xù)性。服務器或者服務甚至還可以轉移到云供應商或者內容分發(fā)網絡。

可以通過監(jiān)控來確定攻擊是不是停止、改變。監(jiān)控只能利用檢測工具，當達到某個閥值時發(fā)出警報，例如80%的鏈路利用率或者大量UDP連接。你還可以聯(lián)系來源ISP，要求他們阻止其客戶參與到DDoS攻擊中，或者阻止來源。你也可以自己阻止來源，但是阻止大量攻擊計算機有點困難。一旦DoS攻擊減弱，這種阻止應該被移除或者網站應該移回原來的托管地點。最后評估確定這些短期或長期保護措施是否應該保持不變。

總結

DoS攻擊可能對企業(yè)造成嚴重影響，但準備工作可以最大限度地減小業(yè)務中斷。DoS攻擊不斷演變，使得它們變得越來越難以阻止和追蹤所有來源，但是我們可以采用新方法來盡量減小影響。雖然我們可能無法停止攻擊，但是通過適當?shù)臏蕚涔ぷ?，我們能夠在遭受攻擊時，保持業(yè)務連續(xù)性，這種準備工作不僅應該包括內部技術措施，還應該包含與外部供應商的溝通和協(xié)商。