Protonmail公司聯(lián)合創(chuàng)始人Andy Yen表示，攻擊負載大得出奇。高峰時期，那次攻擊向他公司不斷發(fā)送大量持續(xù)的垃圾數(shù)據(jù)。大規(guī)模的分布式拒絕服務(DDoS)攻擊揚言要搞垮歐洲原子核研究組織(CERN)支持的這家小型電子郵件加密服務公司。

[[156430]]

Yen說：“我們的情緒非常低落。我們是家只有15名員工的初創(chuàng)公司，只想做點正當生意，卻要面對設法搞垮了一家互聯(lián)網(wǎng)服務提供商(ISP)的可怕敵人。我們的工作團隊還應該設法抵御瑞士遇到過的規(guī)模最大的網(wǎng)絡攻擊，我們當中沒有一個人是網(wǎng)絡專家。”

Cloudfare的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Matthew Prince說到DDoS攻擊引起的破壞時說：“遭到攻擊后，客戶常常很憤怒，覺得自己受到了侵犯。DDoS攻擊并不是什么高明的攻擊。它實際上就相當于手拿棍棒的穴居人。不過手持棍棒的穴居人也能大搞破壞。”

與Yen的公司一樣，大多數(shù)初創(chuàng)公司和小企業(yè)只有小規(guī)模團隊和很少資源來對付DDoS攻擊。顧名思義，DDoS對某家公司的主機托管和網(wǎng)站服務發(fā)送大量的數(shù)據(jù)，從而阻止用戶訪問網(wǎng)站和服務。Prince表示，有些攻擊每秒發(fā)送的數(shù)據(jù)量超過1 TB。他說：“其數(shù)據(jù)量相當于典型家庭帶寬連接的10萬倍，就針對一個目標。”

拒絕服務攻擊有多常見?來自Google Ideas和Arbor Networks共同制作的ATLAS威脅報告的數(shù)據(jù)發(fā)現(xiàn)，每天發(fā)生的拒絕服務攻擊數(shù)量超過2000起。據(jù)Incapsula早在2014年開展的一項調查發(fā)現(xiàn)，拒絕服務攻擊讓商業(yè)界每小時蒙受的損失在5000美元至40000美元之間。該報告表示，所有攻擊當中近一半的持續(xù)時間在6小時至24小時，每起事件導致的損失超過50萬美元。

攻擊者可能是勒索者、競爭對手、黑客活動分子，或者欺騙成性的破壞分子。要是公司或企業(yè)組織缺少專家網(wǎng)絡專家或雄厚財力，又該如何應對網(wǎng)絡勒索和大規(guī)模拒絕服務攻擊帶來的威脅呢?下面是你可以采取的四個做法。

1. 做好準備。

Rapid7公司的安全研究經(jīng)理Tod Beardsley表示，所有中小企業(yè)應該防備拒絕服務攻擊，要準備好災難響應計劃。最佳實踐包括：確定小組中哪些重要成員負責響應。明確團隊角色、任務和要求。Beardsley表示，然后，“在緊急事件發(fā)生之前經(jīng)常演練，那樣萬一發(fā)生不可避免的事情，每個相關人員都知道該如何是好。”

公司和企業(yè)組織應該與內部的IT和公關團隊、主機托管提供商和ISP合作，共同確認易受攻擊的故障點、技術漏洞及逃生路線，并且明確如何向客戶和新聞媒體通報受到的損害和服務中斷。

2. 了解攻擊。

導致你網(wǎng)絡癱瘓的到底是職業(yè)團伙還是業(yè)余黑客?一些備受考驗的服務商提供各種各樣的DDoS預防軟件，比如Akamai、Imperva Incapsula和Cloudflare。大多數(shù)這些工具運行復雜的算法，可以識別不同類型的流量。DDoS工具試圖嗅出、檢測并過濾各種類型的惡意和良性的機器人程序，允許合法流量進出。

常常很難從單單一起事件中辨別攻擊是“專業(yè)人士、腳本小子還是租賃DDoS服務的憤怒學生所為。”Imperva Incapsula的營銷副總裁Tim Matthews說。他特別指出，基本上可以說，流量超過50 Gbps或更多的網(wǎng)絡攻擊極可能是專業(yè)人士所為。

一些最常見的攻擊工具常常打著“網(wǎng)絡安全工具”的幌子擴散開來，它們名為booter或壓力源(stressor)。顧名思義，這類工具會放大并專注DDoS有效載荷：潮水般的Web機器人程序和雜亂的網(wǎng)絡流量。

Matthews說：“我們確實密切跟蹤已知的僵尸網(wǎng)絡，所以就算我們不知道實施攻擊的犯罪分子是誰，至少也知道使用什么樣的武器。僵尸網(wǎng)絡運營者就好比是軍火商。他們向有錢或持相同世界觀的所有人兜售工具。所以他們是犯罪分子，而不是某一起攻擊的協(xié)調者。”

3. 積極響應，堅持立場。

與所有災難響應一樣，千萬別慌張。保持冷靜，堅持下去。確保你的服務在運行，并向客戶通報基本情況。Beardslet強調，如果你作好了充分準備，你的團隊就會準備好響應。

Matthews表示，他建議客戶應該設立小型戰(zhàn)情室，那樣團隊成員可以相互協(xié)調、優(yōu)化響應手法。一旦你的技術團隊緩解了攻擊，就要確保負責通報的團隊準備好向媒體提供具體的細節(jié)，法務團隊準備好處理潛在的監(jiān)管和合規(guī)問題。

要是有人要你付贖金，別付錢給劫持者。Matthews說：“無法保證犯罪分子會遵守約定。乖乖付錢只會表明你或貴企業(yè)是容易下手的對象。一旦被確認是會乖乖付錢的企業(yè)，別人可能聽到風聲后就會聞風而至。”

4. 學習和適應。

攻擊緩下來后，要趁機喘口氣。Beardsley表示，從攻擊中汲取經(jīng)驗和教訓很重要。“事后要認真分析一下哪里對頭，哪里出了岔子。”

確保你的IT和法務團隊收集了所需的取證分析數(shù)據(jù)，并將生成的詳細數(shù)據(jù)記入日志。制定一套通報規(guī)程，以便應對內部的團隊問題、新聞媒體和客戶。

Price說，從攻擊中汲取教訓，弄清楚怎么會受到攻擊。“查明網(wǎng)絡瓶頸在哪里，選擇天生具有彈性的基礎設施鏈。”

在服務器受到持續(xù)一周的攻擊后，借助總部位于瑞士的網(wǎng)絡管理公司IP-Max，Protonmail最終抵御住了這次攻擊。Andy Yen說：“到頭來，挽救ProtonMail的不是我們，而是IP-Max。這些人非常精通網(wǎng)絡，所以能夠讓奇跡發(fā)生。”

Beardsley強調，分析和通報將有助于防備下一次攻擊，并且提升團隊士氣。

Beardsley說：“應急工作在IT行業(yè)司空見慣，但是經(jīng)常做應急工作卻不作反省，只會將自己搞得疲憊不堪。你最不希望看到的一幕是，了解企業(yè)以往情況的員工在危機期間及之后走人。”