如何抵御DDoS 攻擊是目前各大網(wǎng)絡(luò)廠商都在關(guān)注的話題。DDoS攻擊是指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，LOTC是一個(gè)最受歡迎的DOS攻擊工具。 這個(gè)工具被去年流行的黑客集團(tuán)匿名者用于對許多大公司的網(wǎng)絡(luò)攻擊。

由于分布式拒絕服務(wù)（DDoS）攻擊的廣泛性和危害性，現(xiàn)在幾乎所有企業(yè)都已經(jīng)認(rèn)識到并開始部署強(qiáng)大的防御措施來監(jiān)測和緩解 DDoS 攻擊。但是，并不是有了這些防御措施就可以高枕無憂。應(yīng)對 DDoS 攻擊，企業(yè)還需要認(rèn)真制定事件響應(yīng)方案和流程，否則在防御上的所有投入很容易化為烏有。

曾有一家國際性網(wǎng)絡(luò)游戲公司就因此遭受到慘痛的教訓(xùn)。該公司把自己托付給了一家著名的DDoS托管服務(wù)公司，認(rèn)為得到了很好的保護(hù)。然而，在一個(gè)星期天，公司相關(guān)關(guān)鍵員工不在崗，一系列容量耗盡攻擊瞄準(zhǔn)并最終攻破了它。只有少數(shù)高級別員工聯(lián)系到了DDoS服務(wù)供應(yīng)商來處理事件，但不幸的是，一切都太晚了。等他們發(fā)現(xiàn)問題后，公司內(nèi)部團(tuán)隊(duì)和服務(wù)供應(yīng)商還撥錯(cuò)了會(huì)議電話號碼，進(jìn)一步延遲了對事件的響應(yīng)。結(jié)果，緩解措施生效時(shí)為時(shí)已晚，游戲服務(wù)宕機(jī)超過90分鐘。網(wǎng)絡(luò)游戲玩家要的是高質(zhì)量、超快速的服務(wù)，不能接受無法連網(wǎng)，完全可能去別的游戲網(wǎng)站。這一事件導(dǎo)致這家游戲公司至少損失了100萬美元的收入。此外，還有客戶關(guān)系的受損，以及為留住這些玩家要進(jìn)行的推廣等費(fèi)用這些都是DDoS成功攻擊后造成的其他長期后果。

DDoS服務(wù)供應(yīng)商會(huì)出現(xiàn)什么問題？

到底哪里出了問題？與一家著名的DDoS保護(hù)服務(wù)供應(yīng)商簽署了協(xié)議后，這家安全工作人員很少的游戲公司感到很安全。他們沒有充分意識到，而且DDoS服務(wù)供應(yīng)商也沒有解釋清楚的是，速度是事件響應(yīng)和成功緩解威脅的關(guān)鍵因素。

安全部門從未受過培訓(xùn);也沒有針對這類不測事件進(jìn)行過實(shí)踐演練。所有信息的傳遞和轉(zhuǎn)換都只是取決于某一兩個(gè)人的知識和權(quán)威。

對于DDoS攻擊，事件響應(yīng)往往會(huì)滯后。那么，一個(gè)有效的事件響應(yīng)流程應(yīng)該是什么樣子？把它分為六步就很清楚了，需要注意的是，這六個(gè)階段不應(yīng)該是線性，而應(yīng)該是循環(huán)的。

第一步：準(zhǔn)備

這可能是最困難但也是最重要的階段，因?yàn)樗於嘶A(chǔ)。如果沒有充分的準(zhǔn)備，失敗幾乎是必然的。在攻擊過程中，沒有時(shí)間去弄清楚怎么進(jìn)行響應(yīng)。

首先，建立團(tuán)隊(duì)并分配職責(zé)。通常來說應(yīng)對高級威脅是安全運(yùn)營部門的責(zé)任，DDoS防御則由網(wǎng)絡(luò)部門負(fù)責(zé)，而不是安全部門。在攻擊期間，打破這些壁壘對于溝通至關(guān)重要。應(yīng)該建立上下游關(guān)系以及溝通流程——規(guī)定誰給誰打電話，為什么等等。

第二步：識別

缺乏網(wǎng)絡(luò)可見性，企業(yè)就缺乏必要的信息，不知道糟糕的服務(wù)或者應(yīng)用程序性能下降是DDoS攻擊數(shù)據(jù)流造成的還是網(wǎng)絡(luò)錯(cuò)誤配置造成的。內(nèi)部部署解決方案可以提供快速診斷問題所需的關(guān)鍵數(shù)據(jù)流可見性，節(jié)省IT和網(wǎng)絡(luò)部門寶貴的時(shí)間，同時(shí)提高性能。

第三步：分類

看到什么樣的攻擊？ 了解它會(huì)怎樣繼續(xù)下去，以及需要采取什么樣的對策。

第四步：追溯

查明攻擊的來源——從何而來？它會(huì)影響哪里的網(wǎng)絡(luò)以及怎樣影響？這有助于辨別所看到的其他網(wǎng)絡(luò)問題是否與攻擊有關(guān)。

第五步：反應(yīng)

在發(fā)現(xiàn)攻擊并進(jìn)行分類和跟蹤之后，一般就能更好地準(zhǔn)備應(yīng)用最合適的緩解工具。沒有一種工具或者方法能夠適用于所有情形。最好是手邊有不同的工具包，并盡可能利用自動(dòng)響應(yīng)功能。

第六步：事后

分析發(fā)生了什么？學(xué)到什么？如何能做得更好？每個(gè)人都錯(cuò)過了哪一步驟？下一次如何能反應(yīng)更快，更輕松一些？針對發(fā)現(xiàn)的任何具體問題，回到第一階段，將其應(yīng)用到準(zhǔn)備過程中。

通過最佳實(shí)踐防御來加強(qiáng)反應(yīng)能力

文章開頭提到的那家網(wǎng)絡(luò)游戲運(yùn)營商的經(jīng)歷也凸顯了混合檢測和緩解解決方案的必要性。這種解決方案結(jié)合了基于云和本地部署的保護(hù)功能，目前大部分安全分析師都認(rèn)為這是一種DDoS緩解的最佳實(shí)踐。如果只是基于云的服務(wù)，當(dāng)攻擊已經(jīng)開始時(shí)，往往由客戶負(fù)責(zé)通知MSSP。本地部署的DDoS解決方案（設(shè)備的或者虛擬的）提供了網(wǎng)絡(luò)可見性，并有一些內(nèi)置的對抗措施，在意識到攻擊之前，檢測到攻擊時(shí)就會(huì)自動(dòng)啟動(dòng)對抗措施，而無需人工干預(yù)。這能夠節(jié)省寶貴的時(shí)間來啟動(dòng)和協(xié)調(diào)事件響應(yīng)計(jì)劃。

在最佳實(shí)踐應(yīng)用場景中，本地部署和基于云的防御措施實(shí)現(xiàn)無縫保護(hù)。通過先進(jìn)的“云信令”，當(dāng)網(wǎng)絡(luò)中的攻擊流量達(dá)到設(shè)定容量時(shí)，本地部署設(shè)備通知云基礎(chǔ)設(shè)施啟動(dòng)緩解措施。

毫無疑問，自動(dòng)化提供了事件響應(yīng)中的關(guān)鍵優(yōu)勢。但不能完全依賴它，事件響應(yīng)計(jì)劃仍然需要。攻擊者肯定會(huì)采用先進(jìn)的技術(shù)，但他們真正的優(yōu)勢在于其狡詐性。要想高效應(yīng)對DDoS，應(yīng)該把先進(jìn)技術(shù)和人類智能結(jié)合起來，以阻止不正當(dāng)?shù)男袨?。?shí)踐，實(shí)踐，再實(shí)踐。