從去年初以來，國際金融機構便接二連三被分布式拒絕服務攻擊(DDoS)糾纏不休，其中多次攻擊都是由一個名為卡桑網絡戰士(QCF)的組織所發動，其最顯著的一次是今年年初針對美國金融機構、代號為“燕子行動”(Operation Ababil)的攻擊，最近該組織更在Pastebin 發表每周更新，重申其發動“燕子行動”的動機及總結其帶來的影響。

除了QCF，不少黑客團體也在摩拳擦掌策動DDoS攻擊，其目標往往是金融服務機構，集中攻擊其網站表格與內容。此外，更有些DDoS攻擊變成“進階”的多向量版本，把DDoS與賬戶竄改及詐騙手法結合，帶來更大的殺傷力。

以上例子表明，在過去的一年半，DDoS黑客活動的頻率與手法不斷提高，近期的個案顯示不同規模的銀行正面臨不同形式的DDoS攻擊，這包括傳統SYN 攻擊、DNS泛洪攻擊、DNS放大攻擊，以及針對應用層和內容的攻擊。而針對SSL加密網頁資源和內容的拒絕服務(DoS)攻擊更是變本加厲。在一些情況下，黑客會采用一種混合形式的攻擊，用難以阻止的應用層方法，結合“低成本”、大批量，但可用簡單的手段進行過濾及阻擋的攻擊。

為了應對此等級別的惡意活動，首席信息官、首席信息安全官，以及他們的團隊需要部署一個全盤抗擊方案，采用一套全面的防御工具，結合公司內部署的安全技術和基于云端的清洗服務。此外，他們也需考慮執行情報收集和發布工作，支持一套全面的DoS緩解策略。

Check Point 軟件技術有限公司建議金融機構在制訂抗擊DDoS 策略時應考慮下列數點：

采用數據清洗服務或類似的清洗供應商來應對大批量耗盡攻擊

達到80 Gbps的DDoS攻擊已經不稀奇，個別案例甚至高達300 Gbps。只有極少的組織機構可以有帶寬來應付這種規模的攻擊。當面對如此大規模的DDoS攻擊，企業應首先考慮通過基于云的清洗供應商來管理其網絡流量，協助除掉數據流中的惡意數據包。此等供應商擁有所需的工具及足夠的帶寬，所以可以作為抗擊大批量耗盡攻擊的第一道防線，使DDoS攻擊止步于云端，而常規業務數據流則能順利通過網絡。

使用專門的DDoS攻擊防御設備，對攻擊進行識別、隔離與修復

有鑒于DoS攻擊日趨復雜，同時結合大批量和應用的攻擊，企業需要采用一個綜合多種抗擊手法的方針。要有效抵御結合應用及“低而慢”攻擊的多向量攻擊，必需充分利用在公司部署的專用防御設備，防火墻和入侵防御系統在緩解DDoS攻擊方面至關重要，DDoS安全防御設備構建一個額外的保護層，通過專用技術對DoS活動進行實時鑒別并阻截。管理員還可以通過設置此等公司內部安全方案，與云清洗服務供應商溝通，在遭受攻擊時可自動地把攻擊路由出去。

企業需要調整防火墻以處理大量的連接率

在遭受DDoS攻擊時，防火墻將是關鍵的網絡設備。管理員應該調整其防火墻設置，以識別和處理大批量耗盡和應用層攻擊。此外，視乎防火墻的性能，有些保護功能可激活以阻止DDoS攻擊數據包，在攻擊過程中提高防火墻的性能。

制定一套保護應用的方法及策略，抵御DDoS攻擊

安全技術可以有效抵御DDoS攻擊，但是管理員也需要考慮調整Web服務器，修改自身負載均衡及內容分發策略，確保系統取得最佳的正常運作時間。此外，也可以考慮配置抵御多種登陸的攻擊。另外一個防御機器策動、自動進行攻擊的方法是在網頁中增設服務細節選擇，例如頁面詢問瀏覽者是否有興趣取得低息率或新產品信息，用戶需按下“接受”或者“不用，謝謝”按鍵后，方可繼續進入后續頁面。

此外，內容分析十分重要，這可以簡便地確保沒有大量PDF文件堵塞價值重大的主機服務器。

以上都是有些執行DDoS緩解策略的重要手段。企業必須與服務提供商及互聯網服務提供商(ISPs)攜手合作。ISP必須參與并支持此等抗擊策略，因為DDoS攻擊與銀行等金融機構使用相同的網絡，而ISP則支持這兩種數據流。

情報收集和分發對抵御DDoS的重要性也日益增加，這需要調查公司內部網絡的數據，以及在金融服務業其它公司的網絡中的數據。

了解黑客身份、其攻擊動機和手法等信息可以幫助管理人員準確預測并防范攻擊。分辨DDoS攻擊可以是根據協議(SYN、DNS、HTTP)、攻擊數據包的來源，策動和控制攻擊的網絡、攻擊在一天內的啟動和結束時間等。目前，此等信息共享只限于業界友好間，正確的發展方向是構建自動化系統，不同機構可以登錄一個方案，通過研究有關聯的原始日志信息，掌握進行中或已結束攻擊的蛛絲馬跡，此等系統也可以用作分享攻擊情報及分發相關保護。