這樣的報刊標題太司空見慣了：攻擊者黑掉了著名網站。這一對業務的威脅日趨嚴重的事件背景是分布式阻絕服務(DDoS)。重要的是，企業要對DDos的威脅有所察覺，并采取預防措施，才能避免成為出現在報刊頭條上的下一個DDoS攻擊受害者。

本文闡釋了什么是DDoS攻擊，并提供了操作步驟，幫助您盡可能地降低DDoS的影響，甚至是在理想的情況下徹底地規避攻擊。

風險并非虛幻，且危險性越來越高

如果您覺得您的公司很小、很不重要，資金也不雄厚，不足以為攻擊者感興趣的下手對象，則請您三思。任何公司企業都可能成為受害者，大多數機構都容易遭到DDoS攻擊。無論您是《財富》世界500強企業、政府機構還是小中企業(SMB)——都會出現在當今網絡暴徒的目標清單之中。即使是深諳安全之道、動用大量資金和專家保護自身的公司，包括亞馬遜、維薩卡、索尼、孟山都(Monsanto)農業生化、PostFinance支付、貝寶( PayPal)支付和美洲銀行(Bank of America)，也都成為了這一威脅的受害者。

最近，DDoS攻擊事件的數量明顯增加，其攻擊規模也在升級，遠遠超過了100千兆位秒的流量。對亞洲一家電子商務網站的一次長時間攻擊形成的僵尸網絡涉及超過25萬臺僵尸電腦，據說其中很多都在中國。

DDoS的攻擊形式五花八門

從最基本的層面上講，DDoS攻擊是企圖讓一臺機器或一個網絡的資源無法為目標用戶所使用。雖然DDoS攻擊采用的手段、動機和目標有所不同，但這種攻擊一般包括一人或多人試圖暫時或無限期中斷或暫停主機與互聯網連接的服務。

通常情況下，這要通過分布式僵尸網絡的協作來進行，要動用數百或數千臺僵尸電腦，這些電腦之前已被感染并接受遠程遙控，等待攻擊者發出命令。DDoS攻擊的方式是通過發起潮水般的大批量通信，強制覆沒服務器資源，或利用內在弱點，讓目標服務器崩潰。

潮水攻擊包括網間控制報文協議(ICMP)潮(比如smurf和Ping潮水攻擊)、同步符(SYN)潮(使用偽造的TCP/SYN包)，以及其他應用程序級的潮水攻擊。潮水式DDoS攻擊往往借力于大型分布式僵尸網絡的不對稱力量。這些網絡可以創建多個線程，發送極大數量的請求，使得網絡服務器癱瘓。

崩潰攻擊通常發送利用操作系統漏洞的畸形數據包。應用程序級的DDoS攻擊通過利用服務器應用程序(比如緩沖溢出或叉路炸彈)來使系統崩潰。惡意軟件搭載的DDoS攻擊可能用木馬病毒危害潛在的僵尸網絡系統，木馬反過來會觸發大量下載僵尸代理程序。

此外，攻擊已經變得更加復雜。例如，僵尸網絡可能不僅僅對目標服務器潮水般地傳播數據包，而且有可能侵入性地與服務器建立聯系，從內部啟動極大數量的偽造應用處理。

為什么用DDoS?

犯罪分子使用DDoS，因為它價格低廉、難以發現且十分高效。DDoS攻擊很便宜，是因為它們利用了由成千上萬的僵尸電腦組成的分布式網絡，這些電腦通過電腦蠕蟲病毒或其他自動化方法俘獲。例如，DDoS攻擊MyDoom就是使用一種蠕蟲病毒來散布潮水攻擊發起的命令。因為這些僵尸網絡在全球范圍內買賣，在黑市上唾手可得，攻擊者可以用不到100美元購買僵尸網絡的使用權進行潮水攻擊，或者以低至每小時5美元的價格雇傭他人進行特定的攻擊。

DDoS的攻擊很難探測到，因為它們經常使用正常的連接，并模仿正常的授權通信。結果，這種攻擊非常高效，因為通常情況下目標服務器會錯誤地信任通信，執行這些請求而最終將自身淹沒，促成了攻擊。比如，在HTTP-GET潮水攻擊(例如Mydoom)中，請求通過正常的TCP連接發送，并被網絡服務器認定為合法內容。

受金錢或意識形態驅使

受金錢驅使的DDoS攻擊通常是基于敲詐勒索或競爭。勒索方案往往是要求受害組織支付大筆贖金來防止拒絕服務，從而使勒索方獲利。例如，據報道，一家英國的電子賭博網站在拒絕贖金要求后，遭到了DDoS攻擊而癱瘓。

來自不道德商業競爭對手的攻擊比人們想象中的更為普遍。一項行業調查發現，對美國企業的所有DDoS攻擊有一半以上是由競爭對手發起的，以得到不正當的商業優勢。

意識形態攻擊可能由政府機構或草根黑客積極分子發起。黑客積極分子通過阻塞高知名度的組織或網站來讓自己出名，以表達不同的政見或抵觸的做法。也許當今最臭名昭著的黑客積極分子的例子之一是松散的團體“無名氏(Anonymous)”，其聲稱自己的職責(和名聲)是黑掉知名組織，像聯邦調查局和中央情報局等的網站，并已經瞄準了遍及六大洲的25個國家的網站。

下一個受害者是誰?

因為黑客積極分子的攻擊日程很不穩定、無法預測，任何公司都有可能被當做最新熱點的象征，受到黑客的攻擊。知名度高的組織(比如Facebook)或活動(比如奧運會、歐洲杯或美國大選)的網站極易成為攻擊目標。

而對于由政府發起的網絡戰DDoS攻擊，易受襲擊的就不止是政府目標了。這些攻擊也可能瞄準提供關鍵基礎設施、通訊和運輸服務的關聯供應商，或者試圖損壞關鍵業務或金融交易服務器。

基于云的服務現在也特別容易遭受針對性的攻擊。因為需要進行過量計算或事務處理的網站(比如綜合性的搜索引擎或數據挖掘網站)非常迫切地需要資源，它們也是DDoS攻擊的首選目標。

IT部門能做什么

顯然，IT部門需要提高警惕，先發制人，抵御DDoS攻擊。行業分析公司加特納(Gartner)指出，“當企業依賴于互聯網連接的可用性時，DDoS攻擊防護應該成為商業連續性/災難恢復規劃的一個標準部分，并納入所有的互聯網服務采購計劃。”要有效做到這一點，一家企業必須在面對 DDoS攻擊時得到預先示警，做好準備充分，并具備應對的彈性。

IT部門需要得到預警

簡單來說，IT部門應該知道誰是網絡服務提供商(ISP)。IT部門應該與服務提供商攜手合作，制定好有效的應急預案。在許多情況下，網絡服務提供商可能成為抵御DDoS攻擊的第一條防線。

IT應該清楚自身的薄弱環節。一個準備充分的IT組織應該能夠識別最容易被DDoS攻擊覆沒的網絡部分，比如互聯網管道、防火墻、入侵防御 (IPS)、負載平衡器或服務器。此外，IT部門需要密切監視這些可能在攻擊下陷入癱瘓的部分，并且評估是否需要升級或優化其性能和彈性。

最后，IT部門應該了解自身的通信情況。IT部門無法控制其無法看到的事物。因此，IT部門應該掃描和監視進出流量，以便看到異常的通信量或模式，并通過這些異常確定目標網站或發現網絡內的僵尸網絡。為了做好充分準備，IT部門也需要查看7層的通信流量，以確定和控制混合的、應用程序層的 DDoS攻擊。

IT部門需要常備不懈

IT組織應該在評估和部署適當的應對產品和服務上大力投資。例如，一些下一代防火墻具備集成入侵探測和應對已知DDoS攻擊預防對策，只需有持續提供最新簽名，就能自動更新。

理想情況下，IT部門需要防火墻深入掃描出站和入站的通信流量——包括查看應用程序——并且監控可疑模式，以及向管理層示警。IT部門應該確定防火墻解決方案可以根據識別的模式、通信量或特征，通過阻斷、過濾或重新定向，對DDoS攻擊實施補救。

為了綜合性通信智能，IT部門也可以考慮安裝流量分析軟件，這些軟件能夠按照不同應用程序或用戶檢查使用數據、在不同的時間段查看數據，并且關聯多個來源的通信數據，比如NetFlow和IPFIX。

展望未來，IT部門的領導應該時時關注新興技術，以便將其納入武器庫。例如IP地理定位，這種技術可以幫助識別入站數據包的可疑地理來源。

IT部門應該具有彈性

如上所述，拒絕服務攻擊是建立在系統覆沒和堵塞上的。只要有可能，IT部門應該憑借高冗余、高性能的組件，以及基于政策的帶寬管理，提高網絡的彈性。

例如，某些下一代防火墻可以結合大規模擴展多核設計和近線速深層數據包掃描技術，實現多重威脅和應用同步掃描、對所有大小文件的分析和數千兆速度的連接。這類防火墻可以針對的受到攻擊進行最佳性能和靈活性配置，帶有主動/主動高可用性(HA)故障轉移、應用智能和控制，以及帶寬優先化。

結束語

如果一家組織的業務遍布互聯網，那么，它成為DDoS攻擊的目標將不是會與不會的問題，而是何時的問題。不過，IT部門有很多可以采取的措施，盡量減少和避免這種影響。IT組織應該與公司領導層密切配合，提早警示自身的薄弱部分，準備好相應的對策，并憑借高性能、高冗余的網絡安全組件來靈活地抵御攻擊。