分布式拒絕服務(DDoS)攻擊的規模越來越大。根據供應商Arbor Networks和Akamai Technologies的研究表明，2012年DDoS攻擊的平均規模在1.77Gbps左右。來自Prolexic的DDoS攻擊數據表明，攻擊的平均帶寬最高達到48Gbps，與上一季度增幅超過700%。

大多數組織都有近10Gbps的互聯網連接。因此，1.77Gbps的DDoS攻擊影響并不小，但是仍然在可控范圍。現在，DDoS攻擊的平均范圍已經大幅增長，如果一個組織完全沒有準備，那么在遇到攻擊時，應急人員甚至完全無法使用互聯網連接。

這種情況就發生在2013年3月18日，垃圾郵件過濾公司Spamhaus成為百萬級DDoS的攻擊目標。互聯網服務提供商報告說，攻擊的峰值吞吐量達到了300Gbps。不僅單個攻擊的吞吐量達到了歷史最高值，而且它也發出一個警告：組織必須重新考慮自己的DDoS攻擊的防御方法。在本文中，我將回顧DDoS功能的基本概念，然后提出一些建議，幫助企業防御新出現的百萬級DDoS攻擊。

DDoS攻擊的機制

傳統的拒絕服務攻擊通常是指讓信息系統變成無法提供正常服務。這可能包括從斷電到數據包淹沒等各種手段。DDoS之所以越來越難防御，主要是源于它名稱包含的一個內在特性：分布式。DDoS攻擊可以針對一個目標在多個位置的多個系統資源，讓這些目標系統完全被擊垮。

發起DDoS的方法有很多，但是最基本的方法是(也是Spamhaus遇到的那種)，攻擊者偽裝出一個與攻擊目標相同的IP地址。然后，攻擊者向一些預先選定的DNS服務器發送一個偽裝的DNS請求。當DNS服務器接收到DNS請求時，服務器會檢查其數據庫，然后回復一個表示沒有包含欺騙性IP地址的DNS記錄的響應消息。因為DNS響應被發送到欺騙IP地址，也就是說攻擊者設定的攻擊目標會接收到這個DNS響應，因此無法追蹤到攻擊者來源。專業級DDoS會同時向大量不同位置的NDS服務器發送這樣的請求，從而對攻擊目標網絡造成嚴重的影響——大部分網絡的到達流量處理容量都有一定的上限。

防御百萬級DDoS攻擊

一旦企業理解了DDoS的攻擊方式，他們就必須決定如何應付這種攻擊，這是現在幾乎不可避免的狀況。第一個方法是與一些DDoS防御供應商合作，如Arbor、CloudFlare、Akamai、Prolexic等，這是應對最嚴重攻擊的一個可行方法。這些公司專門研究如何防御和應付可能的惡意流量。然而，如果一個組織沒有足夠資源購買第三方產品和服務，那么聰明的安全管理員也會采取下面這些步驟，盡量減小DDoS攻擊的危害。

首先，安全管理員應該先了解他們組織的互聯網連接。正如前提所提到的，一般組織的平均連接帶寬為10Gbps，所以管理員一定要謹慎處理，保證他們至少要讓自己的產品服務使用其中大部分的可用吞吐量。此外，安全人員還一定將安全需求報告給更高一級的管理人員。即使資源很緊張，也要定期向他們報告前面提到的統計信息，讓他們知道現DDoS攻擊的普遍性和潛在危害，這是百利而無一害的做法。

此外，無論網絡管理員是否遇到過攻擊，他們都應該部署一些防御機制，檢查所有到達的DNS響應。如果到達的一系列請求以前在本地服務器上從未記錄過，那么要丟棄這些數據包，而不要向外部DNS服務器發送不必要的響應，從而避免加重問題。

最后還有一個方法，它有時候可以直接用于解決前面提到的資源缺乏問題。管理員應該考慮更多地將他們的基礎架構部署到云上。最初，許多企業是出于節約空間的考慮而不想運營自己的獨立數據中心，但是云解決方案現在更多是因為安全考慮而受到關注。

在Spamhaus遇到的攻擊中，Spamhaus使用CloudFlare的云服務來減輕DDoS的攻擊效果。CloudFlare、Neustar等云服務提供商會在全世界的數據中心宣布一個指定客戶的IP地址。這個分散的方法會將DDoS流量分散到不同地理位置上，從而減輕攻擊的影響。在出現像Spamhaus遇到的百萬級DDoS攻擊時，許多組織本身無法處理如此大規模的流量，他們必須向云提供商尋找幫助。

結論

在防御和應對DDoS攻擊時，保持警惕是至關重要的。安全管理員必須了解針對互聯網系統的最新攻擊趨勢、策略和流程。各種統計信息表明，百萬級DDoS攻擊的規模和頻率將繼續增長，所以要做好防御措施應對最壞的情況，比如Spamhaus遇到的攻擊。提前做好準備是縮小DDoS攻擊范圍和強化潛在攻擊目標防御能力的一個重要步驟。