2015年，對青云QingCloud來說可謂“流年不利”。繼6月份的雷擊事件后，7月22日下午，青云QingCloud北京二區(qū)IDC遭到DDos攻擊，導致在該片區(qū)的部分網站/APP無法訪問，如：36氪、ENJOY、GitCafe、電視家瀏覽器等，故障持續(xù)2小時。

此次青云遭受DDoS攻擊，影響波及如此多的客戶，損失不能說不慘重。許多企業(yè)對DDoS攻擊恨得咬牙切齒，卻很難找到解決辦法。毫無疑問，近期策劃重大DDoS攻擊的那些人對互聯(lián)網的內部運作原理有著深入了解。由于攻擊者對這些專業(yè)知識的掌握了解，以及一些重要互聯(lián)網協(xié)議缺少基本安全保障，導致當談到保護企業(yè)自身安全和防范這種類型的攻擊時，許多的企業(yè)處于劣勢。

這就是為什么許多企業(yè)、政策和行業(yè)組織一直致力于制定廣泛的行業(yè)計劃，減小危害巨大的DDoS攻擊的發(fā)生率。在大多數(shù)國家，已通過了宣布DDoS攻擊為非法的法律，比如美國的《計算機欺詐和濫用法案》以及英國的《計算機濫用法案》，但是立法對網絡犯罪起不了多大的威脅效果。

本文將主要探討如何減小DDoS攻擊的發(fā)生率和破壞力，以及如何結合使用內部和基于云的DDoS緩解控制措施，盡量減小日益復雜的DDoS攻擊對企業(yè)業(yè)務造成的干擾和破壞。

評估DDoS攻擊的威脅

DDoS攻擊的破壞力很大，足以威脅到整個國家的關鍵基礎設施，這個事實可以解釋為何諸多政府部門在開始要求：必須制定DDoS緩解方案。比如說，受聯(lián)邦金融機構檢查委員會監(jiān)管的金融機構現(xiàn)在必須監(jiān)控無無遭到DDoS攻擊，要有隨時就能激活的事件響應方案，并確保在攻擊持續(xù)期間有足夠的人手，包括求助事先簽好的第三方服務，如果有的話。還鼓勵金融機構將攻擊方面的詳情上報金融服務信息共享和分析中心以及執(zhí)法部門，幫助其他機構識別和緩解新的威脅及手法。

針對DDoS攻擊等網絡威脅的全球合作在加強。由于僵尸網絡是一大威脅及常見的DDoS武器，聯(lián)邦調查局(FBI)和國土安全部與另外100多個國家共享了他們認為被感染了DDoS惡意軟件的成千上萬臺計算機的IP地址。白宮網絡安全辦公室、商務部、國土安全部以及行業(yè)僵尸網絡組織也在緊密地合作，共同對付和打擊僵尸網絡。打掉僵尸網絡無疑有助于改善安全形勢，但這是一項永遠不會結束的任務。

實施DDoS緩解控制措施，對DDoS攻擊說不!

針對分布式拒絕服務的緩解方案不可忽視，因為這種攻擊的頻率和復雜性給更多的企業(yè)組織構成了威脅。如今的DDoS攻擊結合了大強度的蠻力攻擊和應用程序層攻擊，盡量造成最大程度的破壞，并躲避檢測機制。有些DDoS攻擊利用了成千上萬中招的系統(tǒng)或Web服務，會給企業(yè)在成本和聲譽方面極其重大的破壞，拒絕服務日益成為高級針對性攻擊的一部分。好消息是，你可以使用好多工具，盡量減小這種類型的攻擊給客戶和收入造成的影響。

想緩解DDoS，首先就要確保你已定義了事件響應流程，并且明確了責任，這就需要多個小組通力合作。DDoS防范規(guī)劃需要安全團隊與網絡操作人員、服務器管理員和桌面支持人員以及法律顧問和公關經理攜起手來。

一旦DDoS事件響應方案落實到位，你就可以關注四大方面的DDoS緩解控制措施，盡量減小DDoS攻擊給業(yè)務造成的干擾和破壞。在此按重要性順序排列：

?互聯(lián)網服務提供商(ISP)。大多數(shù)ISP都有“潔凈的網絡管道”(Clean Pipe)或DDoS緩解服務，收費通常要比標準的帶寬成本高一些?；贗SP的服務對許多中小企業(yè)來說很管用，也符合預算方面的要求。別忘了一點：云服務提供商和主機托管商也是ISP。

?DDoS緩解即服務提供商。如果你有多家ISP，第三方DDoS緩解即服務提供商也許是一種更明智的選擇，不過基于云的服務通常成本更高。如果改變DNS或BGP路由，讓攻擊流量通過DDoS SaaS提供商來發(fā)送，你就能過濾掉攻擊流量，無論哪家ISP來為你處理。

?專用的DDoS緩解設備。你可以在互聯(lián)網接入點部署DDoS緩解設備，以此保護服務器和網絡。不過，蠻力攻擊可能仍會耗盡你的所有帶寬――即使服務器沒有崩潰，客戶們仍無法正常訪問。

?基礎設施部件：比如負載均衡系統(tǒng)、路由器、交換機和防火墻。依賴貴企業(yè)的操作基礎設施來緩解DDoS攻擊是注定失敗的策略，只能對付最軟弱無力的攻擊。然而，這些部件在協(xié)同緩解DDoS方面卻能夠發(fā)揮作用。

大多數(shù)企業(yè)需要外部服務和內部DDoS緩解能力結合起來。對你員工的技能水平作一個切合實際的評估――要是你手下有IT安全人員能檢測并分析威脅，先從內部DDoS緩解開始入手，然后逐漸完善策略，加入外部服務。要是你沒有足夠的人手或者所需的技能組合，不妨從外部服務開始入手，考慮將來添加托管CPE(用戶端設備)緩解能力。

無論你最后選擇了哪種架構，每年都要至少測試兩次DDoS緩解控制措施。如果你借助外部服務提供商，就要核對路由和DNS方面的變化，確保流量會傳送到外部服務，不會有重大干擾――另外還要確保能順利切回到直接路由。網絡配置和DNS路由在正常操作期間常常變動――你要在實際的DDoS攻擊之前弄清楚這一點。

防止DDoS攻擊

想防止DDoS攻擊，長期的解決辦法就是加強攻擊者用來發(fā)動攻擊的互聯(lián)網協(xié)議，并且要求升級系統(tǒng)，以便得益于最佳實踐。比如說，許多DDoS攻擊之所以能得逞，就是因為攻擊者通常借助上當受騙的源IP地址來生成流量。IETF Best Common Practices文檔BCP 38建議：網絡操作人員應對從下游客戶進入其網絡的數(shù)據(jù)包進行過濾，丟棄源地址不在其地址范圍內的任何數(shù)據(jù)包。這樣可以讓黑客無法發(fā)送聲稱來自另一個網絡的數(shù)據(jù)包(即欺詐攻擊)。不過，按BCP 38的要求來做需要一筆支出，卻沒有立竿見影的效果，因而盡管有益于更廣泛的社區(qū)，卻沒有全面實施起來。

網絡管理員們可以確保自己遵守其他最佳實踐，從而加強互聯(lián)網的總體安全。比如說，他們應該熟悉國土安全部頒布的DDoS快速指南(DDoS Quick Guide)，還應該落實開放解析器項目(Open Resolver Project)等項目給予的建議。開放解析器可以回復針對域外主機的遞歸查詢，因而用于DNS放大DDoS攻擊中。該項目已列出了2800萬個構成重大威脅的解析器，并提供了詳細指導，教人們如何配置DNS服務器，以減小DNS放大攻擊的威脅。

與往常一樣，若能確保已安裝了軟件的最新版本，系統(tǒng)不大容易受到黑客的攻擊，黑客經常企圖利用其資源作為DDoS攻擊的一部分。比如說，務必要更新運行BIND的DNS服務器，因為互聯(lián)網系統(tǒng)聯(lián)盟(Internet Systems Consortium)現(xiàn)在已將響應速率限制(RRL)添加到最佳版本中。RRL可以檢測表明存在濫用現(xiàn)象的模式，從而有助于緩解DNS放大攻擊，并減少發(fā)送回復的速率。另外務必要更新網絡時間協(xié)議(NTP)服務器，因為4.2.7之前的所有版本都很容易被用于NTP放大攻擊中。

雖然金融機構等大企業(yè)是某些攻擊者眼里的明顯目標，但它們至少有財力和資源來采用最新的安全技術和最佳實踐。不過，資源有限的小企業(yè)仍然面臨可能很強大的對手。這也是谷歌啟動護盾項目(Project Shield)的原因之一：好讓那些運行新聞、人權或選舉方面網站的組織機構可以通過谷歌龐大的DDoS緩解基礎設施來發(fā)布其內容。這種類型的計劃主要旨在確保潛在的受害者有足夠的資源來抵御攻擊，從而消除DDoS攻擊的影響。

全面共享DDoS緩解資源、實施行業(yè)最佳實踐可能很費時間和資源，而且可能無法立即帶來回報，但是互聯(lián)網是個整體性的社區(qū)項目，打擊DDoS攻擊是大家共同的責任。除非人人都出一份力，否則再多的計劃也無法讓我們擺脫該死的DDoS攻擊。