應(yīng)對DoS攻擊響應(yīng)：更好的業(yè)務(wù)連續(xù)性計(jì)劃

盡管互聯(lián)網(wǎng)安全（服務(wù)器租用找：51033397）技術(shù)不斷進(jìn)步，但拒絕服務(wù)(DoS)攻擊仍然肆無忌憚地影響著很多企業(yè)的運(yùn)作。沒有人想成為DoS攻擊的目標(biāo)，在攻擊發(fā)生之前，企業(yè)必須制定一個DoS攻擊響應(yīng)計(jì)劃以防萬一。這種業(yè)務(wù)連續(xù)性計(jì)劃不僅應(yīng)該包含技術(shù)步驟，一個全面的DoS攻擊防御計(jì)劃還必須明確在某些情況下如何繼續(xù)業(yè)務(wù)。

在本文中，我們根據(jù)最近發(fā)生的DoS攻擊來分析DoS威脅的廣度和深度，以及如何從技術(shù)角度預(yù)防DoS攻擊，我們還將介紹能夠更快處理問題的關(guān)鍵業(yè)務(wù)及通信戰(zhàn)略。

DoS威脅的廣度和深度

在著名的2000 Mafiaboy DDoS攻擊(主要針對雅虎、易趣、CNN和亞馬遜網(wǎng)站)之前，DoS攻擊就已經(jīng)出現(xiàn)了，然而，自那以后，DoS攻擊發(fā)生了顯著的改變。Mafiaboy 攻擊時期的大多數(shù)工具都需要一定水平的專業(yè)技術(shù)，但用JavaScript編寫的更現(xiàn)代的工具出現(xiàn)后，幾乎任何人都可以發(fā)動DoS攻擊。臭名昭著的黑客組織Anonymous在他們的DDoS攻擊中就是用了這種工具。這些攻擊工具發(fā)動的攻擊屬于基本的IP和應(yīng)用程序級的攻擊。

當(dāng)他們有很多攻擊節(jié)點(diǎn)時(或者稱之為僵尸網(wǎng)絡(luò))，DoS攻擊仍然是最有效的攻擊。這是因?yàn)槠髽I(yè)很難阻止大量來源，而單個系統(tǒng)需要的帶寬很低，所以即使是只有互聯(lián)網(wǎng)連接很慢的系統(tǒng)都可以被利用。

DoS攻擊應(yīng)對準(zhǔn)備：業(yè)務(wù)規(guī)劃

DoS攻擊業(yè)務(wù)的準(zhǔn)備工作應(yīng)該包括溝通、業(yè)務(wù)連續(xù)性規(guī)劃和IPS。如果企業(yè)的網(wǎng)站托管給了外部托管供應(yīng)商，企業(yè)必須確保該供應(yīng)商有能力及時響應(yīng)DoS攻擊。無論使用什么工具，供應(yīng)商必須知道如何有效地使用其工具以及制定有效的步驟。一些在短期內(nèi)減小DoS攻擊影響的措施如果在攻擊后沒有刪除的話，可能會對長期防御工作有負(fù)面影響，。

企業(yè)應(yīng)該將DoS攻擊響應(yīng)服務(wù)寫進(jìn)與供應(yīng)商的合同中，甚至還可以將響應(yīng)服務(wù)寫進(jìn)服務(wù)水平協(xié)議(SLA)中。例如，企業(yè)可以確保SLA規(guī)定了應(yīng)該記錄響應(yīng)時間，因?yàn)楦�快地響�?yīng)時間意味著更小的停機(jī)時間。

在協(xié)商合同細(xì)節(jié)時，還應(yīng)該對費(fèi)用和任何額外的使用費(fèi)進(jìn)行預(yù)先協(xié)商，提前這樣做可以防止供應(yīng)商在攻擊事故期間收取額外的服務(wù)費(fèi)用。使用SLA還可以確保ISP或者托管服務(wù)供應(yīng)商滿足可用性要求，例如99.9%的正常運(yùn)行時間。

此外，在規(guī)劃DoS攻擊響應(yīng)計(jì)劃時，企業(yè)的計(jì)算機(jī)安全（服務(wù)器租用找：51033397）事件響應(yīng)小組(CSIRT)應(yīng)該與業(yè)務(wù)部門(包括業(yè)務(wù)運(yùn)營的關(guān)鍵決策者)建立聯(lián)系以確保發(fā)生事故時，利益相關(guān)者將得到通知。關(guān)鍵決定者應(yīng)該能夠在最糟糕的情況下確定和決定斷開互聯(lián)網(wǎng)連接，或者斷開部分互聯(lián)網(wǎng)連接。禁用互聯(lián)網(wǎng)連接可能需要高管簽名，但是阻止個別網(wǎng)絡(luò)可以由CSIRT來做出決定。此外，還應(yīng)該與相關(guān)內(nèi)部部門建立聯(lián)系，包括市場營銷或公共關(guān)系部門，這樣這些部門就可以與媒體溝通有關(guān)DoS 攻擊的問題。建立這些溝通渠道還可以幫助確定關(guān)鍵決策者，例如能夠授權(quán)購買新的DoS保護(hù)設(shè)備來減小攻擊影響的人。

DoS攻擊應(yīng)對準(zhǔn)備：技術(shù)響應(yīng)

對于任何事件，包括DoS攻擊的響應(yīng)方案，準(zhǔn)備工作都是快速緩解問題的關(guān)鍵。準(zhǔn)備工作取決于攻擊類型以及互聯(lián)網(wǎng)的情況。技術(shù)準(zhǔn)備可以分為網(wǎng)絡(luò)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施兩部分，包括識別、響應(yīng)和監(jiān)控。確定DoS攻擊可以是很簡單的，例如客戶發(fā)郵件表示他們不能使用你的網(wǎng)站，也可以是很復(fù)雜的，例如帶寬監(jiān)控工具報告顯示你的WAN鏈接過度使用。

在獲知可能遭受攻擊后，調(diào)查受到攻擊的基礎(chǔ)設(shè)施以確定最有效的響應(yīng)。通過查看IDS、流量數(shù)據(jù)、億恩科技服務(wù)器日志、應(yīng)用程序日志或者其他網(wǎng)絡(luò)數(shù)據(jù)，找到高使用率模式，來確定受到攻擊的具體的億恩科技服務(wù)器或者應(yīng)用程序。如果web應(yīng)用程序受到攻擊，應(yīng)該立即將網(wǎng)站轉(zhuǎn)移到另一個托管供應(yīng)商、億恩科技服務(wù)器或者網(wǎng)絡(luò)，或者部署DoS保護(hù)工具來確保業(yè)務(wù)連續(xù)性。億恩科技服務(wù)器或者服務(wù)甚至還可以轉(zhuǎn)移到云供應(yīng)商或者內(nèi)容分發(fā)網(wǎng)絡(luò)。

可以通過監(jiān)控來確定攻擊是不是停止、改變。監(jiān)控只能利用檢測工具，當(dāng)達(dá)到某個閥值時發(fā)出警報，例如80%的鏈路利用率或者大量UDP連接。你還可以聯(lián)系來源ISP，要求他們阻止其客戶參與到DDoS攻擊中，或者阻止來源。你也可以自己阻止來源，但是阻止大量攻擊計(jì)算機(jī)有點(diǎn)困難。一旦DoS攻擊減弱，這種阻止應(yīng)該被移除或者網(wǎng)站應(yīng)該移回原來的托管地點(diǎn)。最后評估確定這些短期或長期保護(hù)措施是否應(yīng)該保持不變。

總結(jié)

DoS攻擊可能對企業(yè)造成嚴(yán)重影響，但準(zhǔn)備工作可以最大限度地減小業(yè)務(wù)中斷。DoS攻擊不斷演變，使得它們變得越來越難以阻止和追蹤所有來源，但是我們可以采用新方法來盡量減小影響。雖然我們可能無法停止攻擊，但是通過適當(dāng)?shù)臏?zhǔn)備工作，我們能夠在遭受攻擊時，保持業(yè)務(wù)連續(xù)性，這種準(zhǔn)備工作不僅應(yīng)該包括內(nèi)部技術(shù)措施，還應(yīng)該包含與外部供應(yīng)商的溝通和協(xié)商。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]