簡(jiǎn)單三步走 幫助企業(yè)及其IT團(tuán)隊(duì)預(yù)防DDoS攻擊

　　本文闡釋了什么是DDoS攻擊，并提供了操作步驟，幫助您盡可能地降低DDoS的影響，甚至是在理想的情況下徹底地規(guī)避攻擊。

　　風(fēng)險(xiǎn)并非虛幻，且危險(xiǎn)性越來(lái)越高

　　如果您覺(jué)得您的公司很小、很不重要，資金也不雄厚，不足以為攻擊者感興趣的下手對(duì)象，則請(qǐng)您三思。任何公司企業(yè)都可能成為受害者，大多數(shù)機(jī)構(gòu)都容易遭到DDoS攻擊。無(wú)論您是《財(cái)富》世界500強(qiáng)企業(yè)、政府機(jī)構(gòu)還是小中企業(yè)(SMB)——都會(huì)出現(xiàn)在當(dāng)今網(wǎng)絡(luò)暴徒的目標(biāo)清單之中。即使是深諳安全之道、動(dòng)用大量資金和專家保護(hù)自身的公司，包括亞馬遜、維薩卡、索尼、孟山都(Monsanto)農(nóng)業(yè)生化、PostFinance支付、貝寶(PayPal)支付和美洲銀行(Bank of America)，也都成為了這一威脅的受害者。

　　最近，DDoS攻擊事件的數(shù)量明顯增加，其攻擊規(guī)模也在升級(jí)，遠(yuǎn)遠(yuǎn)超過(guò)了100千兆位秒的流量。對(duì)亞洲一家電子商務(wù)網(wǎng)站的一次長(zhǎng)時(shí)間攻擊形成的僵尸網(wǎng)絡(luò)涉及超過(guò)25萬(wàn)臺(tái)僵尸電腦，據(jù)說(shuō)其中很多都在中國(guó)。

　　DDoS的攻擊形式五花八門

　　從最基本的層面上講，DDoS攻擊是企圖讓一臺(tái)機(jī)器或一個(gè)網(wǎng)絡(luò)的資源無(wú)法為目標(biāo)用戶所使用。雖然DDoS攻擊采用的手段、動(dòng)機(jī)和目標(biāo)有所不同，但這種攻擊一般包括一人或多人試圖暫時(shí)或無(wú)限期中斷或暫停主機(jī)與互聯(lián)網(wǎng)連接的服務(wù)。

　　通常情況下，這要通過(guò)分布式僵尸網(wǎng)絡(luò)的協(xié)作來(lái)進(jìn)行，要?jiǎng)佑脭?shù)百或數(shù)千臺(tái)僵尸電腦，這些電腦之前已被感染并接受遠(yuǎn)程遙控，等待攻擊者發(fā)出命令。DDoS攻擊的方式是通過(guò)發(fā)起潮水般的大批量通信，強(qiáng)制覆沒(méi)服務(wù)器資源，或利用內(nèi)在弱點(diǎn)，讓目標(biāo)服務(wù)器崩潰。

　　潮水攻擊包括網(wǎng)間控制報(bào)文協(xié)議(ICMP)潮(比如smurf和Ping潮水攻擊)、同步符(SYN)潮(使用偽造的TCP/SYN包)，以及其他應(yīng)用程序級(jí)的潮水攻擊。潮水式DDoS攻擊往往借力于大型分布式僵尸網(wǎng)絡(luò)的不對(duì)稱力量。這些網(wǎng)絡(luò)可以創(chuàng)建多個(gè)線程，發(fā)送極大數(shù)量的請(qǐng)求，使得網(wǎng)絡(luò)服務(wù)器癱瘓。

　　崩潰攻擊通常發(fā)送利用操作系統(tǒng)漏洞的畸形數(shù)據(jù)包。應(yīng)用程序級(jí)的DDoS攻擊通過(guò)利用服務(wù)器應(yīng)用程序(比如緩沖溢出或叉路炸彈)來(lái)使系統(tǒng)崩潰。惡意軟件搭載的DDoS攻擊可能用木馬病毒危害潛在的僵尸網(wǎng)絡(luò)系統(tǒng)，木馬反過(guò)來(lái)會(huì)觸發(fā)大量下載僵尸代理程序。

　　此外，攻擊已經(jīng)變得更加復(fù)雜。例如，僵尸網(wǎng)絡(luò)可能不僅僅對(duì)目標(biāo)服務(wù)器潮水般地傳播數(shù)據(jù)包，而且有可能侵入性地與服務(wù)器建立聯(lián)系，從內(nèi)部啟動(dòng)極大數(shù)量的偽造應(yīng)用處理。

　　為什么用DDoS？

　　犯罪分子使用DDoS，因?yàn)樗鼉r(jià)格低廉、難以發(fā)現(xiàn)且十分高效。DDoS攻擊很便宜，是因?yàn)樗鼈兝�用了由成千上萬(wàn)的僵尸電腦組成的分布式網(wǎng)絡(luò)，這些電腦通過(guò)電腦蠕蟲(chóng)病毒或其他自動(dòng)化方法俘獲。例如，DDoS攻擊MyDoom就是使用一種蠕蟲(chóng)病毒來(lái)散布潮水攻擊發(fā)起的命令。因?yàn)檫@些僵尸網(wǎng)絡(luò)在全球范圍內(nèi)買賣，在黑市上唾手可得，攻擊者可以用不到100美元購(gòu)買僵尸網(wǎng)絡(luò)的使用權(quán)進(jìn)行潮水攻擊，或者以低至每小時(shí)5美元的價(jià)格雇傭他人進(jìn)行特定的攻擊。

　　DDoS的攻擊很難探測(cè)到，因?yàn)樗鼈兘?jīng)常使用正常的連接，并模仿正常的授權(quán)通信。結(jié)果，這種攻擊非常高效，因?yàn)橥ǔＧ闆r下目標(biāo)服務(wù)器會(huì)錯(cuò)誤地信任通信，執(zhí)行這些請(qǐng)求而最終將自身淹沒(méi)，促成了攻擊。比如，在HTTP-GET潮水攻擊(例如Mydoom)中，請(qǐng)求通過(guò)正常的TCP連接發(fā)送，并被網(wǎng)絡(luò)服務(wù)器認(rèn)定為合法內(nèi)容。

　　受金錢或意識(shí)形態(tài)驅(qū)使

　　受金錢驅(qū)使的DDoS攻擊通常是基于敲詐勒索或競(jìng)爭(zhēng)。勒索方案往往是要求受害組織支付大筆贖金來(lái)防止拒絕服務(wù)，從而使勒索方獲利。例如，據(jù)報(bào)道，一家英國(guó)的電子賭博網(wǎng)站在拒絕贖金要求后，遭到了DDoS攻擊而癱瘓。

　　來(lái)自不道德商業(yè)競(jìng)爭(zhēng)對(duì)手的攻擊比人們想象中的更為普遍。一項(xiàng)行業(yè)調(diào)查發(fā)現(xiàn)，對(duì)美國(guó)企業(yè)的所有DDoS攻擊有一半以上是由競(jìng)爭(zhēng)對(duì)手發(fā)起的，以得到不正當(dāng)?shù)纳虡I(yè)優(yōu)勢(shì)。

　　意識(shí)形態(tài)攻擊可能由政府機(jī)構(gòu)或草根黑客積極分子發(fā)起。黑客積極分子通過(guò)阻塞高知名度的組織或網(wǎng)站來(lái)讓自己出名，以表達(dá)不同的政見(jiàn)或抵觸的做法。也許當(dāng)今最臭名昭著的黑客積極分子的例子之一是松散的團(tuán)體“無(wú)名氏(Anonymous)”，其聲稱自己的職責(zé)(和名聲)是黑掉知名組織，像聯(lián)邦調(diào)查局和中央情報(bào)局等的網(wǎng)站，并已經(jīng)瞄準(zhǔn)了遍及六大洲的25個(gè)國(guó)家的網(wǎng)站。

　　下一個(gè)受害者是誰(shuí)？

　　因?yàn)楹诳头e極分子的攻擊日程很不穩(wěn)定、無(wú)法預(yù)測(cè)，任何公司都有可能被當(dāng)做最新熱點(diǎn)的象征，受到黑客的攻擊。知名度高的組織(比如Facebook)或活動(dòng)(比如奧運(yùn)會(huì)、歐洲杯或美國(guó)大選)的網(wǎng)站極易成為攻擊目標(biāo)。

　　而對(duì)于由政府發(fā)起的網(wǎng)絡(luò)戰(zhàn)DDoS攻擊，易受襲擊的就不止是政府目標(biāo)了。這些攻擊也可能瞄準(zhǔn)提供關(guān)鍵基礎(chǔ)設(shè)施、通訊和運(yùn)輸服務(wù)的關(guān)聯(lián)供應(yīng)商，或者試圖損壞關(guān)鍵業(yè)務(wù)或金融交易服務(wù)器。

　　基于云的服務(wù)現(xiàn)在也特別容易遭受針對(duì)性的攻擊。因?yàn)樾枰�進(jìn)行過(guò)量計(jì)算或事務(wù)處理的網(wǎng)站(比如綜合性的搜索引擎或數(shù)據(jù)挖掘網(wǎng)站)非常迫切地需要資源，它們也是DDoS攻擊的首選目標(biāo)。

　　IT部門能做什么

　　顯然，IT部門需要提高警惕，先發(fā)制人，抵御DDoS攻擊。行業(yè)分析公司加特納(Gartner)指出，“當(dāng)企業(yè)依賴于互聯(lián)網(wǎng)連接的可用性時(shí)，DDoS攻擊防護(hù)應(yīng)該成為商業(yè)連續(xù)性/災(zāi)難恢復(fù)規(guī)劃的一個(gè)標(biāo)準(zhǔn)部分，并納入所有的互聯(lián)網(wǎng)服務(wù)采購(gòu)計(jì)劃。”要有效做到這一點(diǎn)，一家企業(yè)必須在面對(duì)DDoS攻擊時(shí)得到預(yù)先示警，做好準(zhǔn)備充分，并具備應(yīng)對(duì)的彈性。

　　IT部門需要得到預(yù)警

　　簡(jiǎn)單來(lái)說(shuō)，IT部門應(yīng)該知道誰(shuí)是網(wǎng)絡(luò)服務(wù)提供商(ISP)。IT部門應(yīng)該與服務(wù)提供商攜手合作，制定好有效的應(yīng)急預(yù)案。在許多情況下，網(wǎng)絡(luò)服務(wù)提供商可能成為抵御DDoS攻擊的第一條防線。

　　IT應(yīng)該清楚自身的薄弱環(huán)節(jié)。一個(gè)準(zhǔn)備充分的IT組織應(yīng)該能夠識(shí)別最容易被DDoS攻擊覆沒(méi)的網(wǎng)絡(luò)部分，比如互聯(lián)網(wǎng)管道、防火墻、入侵防御(IPS)、負(fù)載平衡器或服務(wù)器。此外，IT部門需要密切監(jiān)視這些可能在攻擊下陷入癱瘓的部分，并且評(píng)估是否需要升級(jí)或優(yōu)化其性能和彈性。

　　最后，IT部門應(yīng)該了解自身的通信情況。IT部門無(wú)法控制其無(wú)法看到的事物。因此，IT部門應(yīng)該掃描和監(jiān)視進(jìn)出流量，以便看到異常的通信量或模式，并通過(guò)這些異常確定目標(biāo)網(wǎng)站或發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)的僵尸網(wǎng)絡(luò)。為了做好充分準(zhǔn)備，IT部門也需要查看7層的通信流量，以確定和控制混合的、應(yīng)用程序?qū)拥腄DoS攻擊。

　　IT部門需要常備不懈

　　IT組織應(yīng)該在評(píng)估和部署適當(dāng)?shù)膽?yīng)對(duì)產(chǎn)品和服務(wù)上大力投資。例如，一些下一代防火墻具備集成入侵探測(cè)和應(yīng)對(duì)已知DDoS攻擊預(yù)防對(duì)策，只需有持續(xù)提供最新簽名，就能自動(dòng)更新。

　　理想情況下，IT部門需要防火墻深入掃描出站和入站的通信流量——包括查看應(yīng)用程序——并且監(jiān)控可疑模式，以及向管理層示警。IT部門應(yīng)該確定防火墻解決方案可以根據(jù)識(shí)別的模式、通信量或特征，通過(guò)阻斷、過(guò)濾或重新定向，對(duì)DDoS攻擊實(shí)施補(bǔ)救。

　　為了綜合性通信智能，IT部門也可以考慮安裝流量分析軟件，這些軟件能夠按照不同應(yīng)用程序或用戶檢查使用數(shù)據(jù)、在不同的時(shí)間段查看數(shù)據(jù)，并且關(guān)聯(lián)多個(gè)來(lái)源的通信數(shù)據(jù)，比如NetFlow和IPFIX。

　　展望未來(lái)，IT部門的領(lǐng)導(dǎo)應(yīng)該時(shí)時(shí)關(guān)注新興技術(shù)，以便將其納入武器庫(kù)。例如IP地理定位，這種技術(shù)可以幫助識(shí)別入站數(shù)據(jù)包的可疑地理來(lái)源。

　　IT部門應(yīng)該具有彈性

　　如上所述，拒絕服務(wù)攻擊是建立在系統(tǒng)覆沒(méi)和堵塞上的。只要有可能，IT部門應(yīng)該憑借高冗余、高性能的組件，以及基于政策的帶寬管理，提高網(wǎng)絡(luò)的彈性。

　　例如，某些下一代防火墻可以結(jié)合大規(guī)模擴(kuò)展多核設(shè)計(jì)和近線速深層數(shù)據(jù)包掃描技術(shù)，實(shí)現(xiàn)多重威脅和應(yīng)用同步掃描、對(duì)所有大小文件的分析和數(shù)千兆速度的連接。這類防火墻可以針對(duì)的受到攻擊進(jìn)行最佳性能和靈活性配置，帶有主動(dòng)/主動(dòng)高可用性(HA)故障轉(zhuǎn)移、應(yīng)用智能和控制，以及帶寬優(yōu)先化。

　　結(jié)束語(yǔ)

　　如果一家組織的業(yè)務(wù)遍布互聯(lián)網(wǎng)，那么，它成為DDoS攻擊的目標(biāo)將不是會(huì)與不會(huì)的問(wèn)題，而是何時(shí)的問(wèn)題。不過(guò)，IT部門有很多可以采取的措施，盡量減少和避免這種影響。IT組織應(yīng)該與公司領(lǐng)導(dǎo)層密切配合，提早警示自身的薄弱部分，準(zhǔn)備好相應(yīng)的對(duì)策，并憑借高性能、高冗余的網(wǎng)絡(luò)安全組件來(lái)靈活地抵御攻擊。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]