[[175070]]

勒索軟件和資料外泄可能是最受關注的，但是拒絕服務(Denial-of-service, DoS)攻擊的案例正在增加。那么我們可以做什么來減少它們帶來的影響呢?

聽過一句古話叫做“重煥生機”嗎?好吧，拒絕服務攻擊正好印證了這句話。事實上，拒絕服務攻擊(或者稱之為DoS)的使用數量正在增加。阿卡邁科技最近的一份報告顯示，在2016年的第一個季度DoS攻擊數量與2015年同比增長了125%。與此同時，一份來自Verizon的最新報告顯示，受DoS影響的行業包含了國有企業、零售業、金融服務業和學校——所有這些行業都需要抵御拒絕服務攻擊的措施。

盡管DoS攻擊沒有像勒索軟件、Point-of-Sale(POS)攻擊或者零售數據泄露那么引人注目，但是它能影響的用戶數也是很多的。讓這些攻擊一直這么流行的原因是他們很容易被觸發，并且很難完全地防護它們。DoS攻擊只是針對應用可用性，攻擊者可以很簡單地將服務中斷。

使用新的方式進行DoS攻擊

學生們也發現了DoS攻擊的威力了，一些學生黑客使用這項技術來簡單地逃避將要進行的考試。他們使用DoS攻擊應用服務器幾個小時，就不再需要擔心考試不通過了。這種方法如此簡單的原因是DoS產品很簡單而且便宜，并且可以在網上買到，你甚至不需要到“暗網”上去買。只要簡單地搜索一下這個術語，網站就會返回很多DoS的服務。很多這些booter網站支持通過信用卡，Paypal，Western Union和比特幣進行付款。

顯而易見，這樣的門檻是很低的，因此任何人都可以發起一個DoS來攻擊你的公司。因此，在攻擊發生之前部署拒絕服務防衛計劃是非常重要的。這個計劃會在被攻擊之前解決誰來進行響應、響應的內容是什么以及會執行哪些防護措施會等問題。要減少任何潛在的損害，你需要盡早定位和檢測到要受到的攻擊。

流量的隔離

識別和檢測技術是基于的是檢測和區別合法流量及非法流量的能力。行為分析是最常見的一種技術，行為分析通過記錄平均包速率來將有差異的包進行標記。這種方法會在有問題發生的時候提醒你。變點檢測是另一個有用的技術，這項技術使用統計數據和對累積和的估算來定位和識別真實和網絡流量以及預期的網絡流量。

增大帶寬和部署負載均衡器是兩個很重要的步驟。事實是，你應該總是擁有比你想象需要更多的帶寬才對。這不只是針對于DoS來說，其他合理的事件也會導致流量的突發。擁有額外的帶寬可以幫助吸收攻擊，以及可以為防御響應爭取更多的時間。同步服務器可以提供額外的自動防故障保護。這種拒絕服務防御策略的想法是將流量負載到多服務器架構的不同服務器上，以此來進一步減輕攻擊帶來的傷害。

減緩請求來保護你的網絡

限流是另一個有用的技術。限流減緩每一個用戶的請求數量，還可能可以對短時間太多的嘗試進行限制。你應該考慮阻攔一些無效的地址。你可能有時候會聽說這種稱之為bogon and martian packet filtering的做法。這些簡單來說就是一些無效的地址，比如說無用的地址、loopback地址和網絡地址轉換(NAT)地址。

不要忘了回顧一下RFC 2827和3704的標準。RFC 2827不會對DoS攻擊進行保護，但是它能阻止攻擊者在你的網絡使用偽造的源地址，而這些源地址是不會被防火墻規則所過濾的。你需要部署拒絕服務攻擊的防御技術。RFC 3704也是通過拒絕偽造地址帶來的流量限制DoS攻擊帶來的影響。RFC 3704也保證了流量是可以追蹤到它的正確的源地址的。更謹慎點，你可以和你的因特網服務供應商(ISP)討論一下他們提供的黑洞過濾和DoS防御服務。黑洞過濾是一種在路由層面將數據包丟棄的技術，可以動態實現它的功能，以快速抵御DoS攻擊。

所有的拒絕服務攻擊防御措施都可以限制DoS攻擊帶來的損害，但是這并不能阻止別人惡意地去攻擊你的網絡。要充分做好準備，你需要有一份應急響應計劃、部署額外的帶寬、黑洞虛假流量和考慮從ISP那購買DoS硬件和服務。最糟糕的情況是你什么都不準備，而是等待DoS攻擊來臨的時候采取想響應的方法。