如何抵御DDoS 攻擊是目前各大網(wǎng)絡(luò)廠商都在關(guān)注的話題。DDoS攻擊是指故意的攻擊網(wǎng)絡(luò)協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，LOTC是一個最受歡迎的DOS攻擊工具。 這個工具被去年流行的黑客集團匿名者用于對許多大公司的網(wǎng)絡(luò)攻擊。

由于分布式拒絕服務(wù)（DDoS）攻擊的廣泛性和危害性，現(xiàn)在幾乎所有企業(yè)都已經(jīng)認識到并開始部署強大的防御措施來監(jiān)測和緩解 DDoS 攻擊。但是，并不是有了這些防御措施就可以高枕無憂。應(yīng)對 DDoS 攻擊，企業(yè)還需要認真制定事件響應(yīng)方案和流程，否則在防御上的所有投入很容易化為烏有。

曾有一家國際性網(wǎng)絡(luò)游戲公司就因此遭受到慘痛的教訓(xùn)。該公司把自己托付給了一家著名的DDoS托管服務(wù)公司，認為得到了很好的保護。然而，在一個星期天，公司相關(guān)關(guān)鍵員工不在崗，一系列容量耗盡攻擊瞄準并最終攻破了它。只有少數(shù)高級別員工聯(lián)系到了DDoS服務(wù)供應(yīng)商來處理事件，但不幸的是，一切都太晚了。等他們發(fā)現(xiàn)問題后，公司內(nèi)部團隊和服務(wù)供應(yīng)商還撥錯了會議電話號碼，進一步延遲了對事件的響應(yīng)。結(jié)果，緩解措施生效時為時已晚，游戲服務(wù)宕機超過90分鐘。網(wǎng)絡(luò)游戲玩家要的是高質(zhì)量、超快速的服務(wù)，不能接受無法連網(wǎng)，完全可能去別的游戲網(wǎng)站。這一事件導(dǎo)致這家游戲公司至少損失了100萬美元的收入。此外，還有客戶關(guān)系的受損，以及為留住這些玩家要進行的推廣等費用這些都是DDoS成功攻擊后造成的其他長期后果。

DDoS服務(wù)供應(yīng)商會出現(xiàn)什么問題？

到底哪里出了問題？與一家著名的DDoS保護服務(wù)供應(yīng)商簽署了協(xié)議后，這家安全工作人員很少的游戲公司感到很安全。他們沒有充分意識到，而且DDoS服務(wù)供應(yīng)商也沒有解釋清楚的是，速度是事件響應(yīng)和成功緩解威脅的關(guān)鍵因素。

安全部門從未受過培訓(xùn);也沒有針對這類不測事件進行過實踐演練。所有信息的傳遞和轉(zhuǎn)換都只是取決于某一兩個人的知識和權(quán)威。

對于DDoS攻擊，事件響應(yīng)往往會滯后。那么，一個有效的事件響應(yīng)流程應(yīng)該是什么樣子？把它分為六步就很清楚了，需要注意的是，這六個階段不應(yīng)該是線性，而應(yīng)該是循環(huán)的。

第一步：準備

這可能是最困難但也是最重要的階段，因為它奠定了基礎(chǔ)。如果沒有充分的準備，失敗幾乎是必然的。在攻擊過程中，沒有時間去弄清楚怎么進行響應(yīng)。

首先，建立團隊并分配職責(zé)。通常來說應(yīng)對高級威脅是安全運營部門的責(zé)任，DDoS防御則由網(wǎng)絡(luò)部門負責(zé)，而不是安全部門。在攻擊期間，打破這些壁壘對于溝通至關(guān)重要。應(yīng)該建立上下游關(guān)系以及溝通流程——規(guī)定誰給誰打電話，為什么等等。

第二步：識別

缺乏網(wǎng)絡(luò)可見性，企業(yè)就缺乏必要的信息，不知道糟糕的服務(wù)或者應(yīng)用程序性能下降是DDoS攻擊數(shù)據(jù)流造成的還是網(wǎng)絡(luò)錯誤配置造成的。內(nèi)部部署解決方案可以提供快速診斷問題所需的關(guān)鍵數(shù)據(jù)流可見性，節(jié)省IT和網(wǎng)絡(luò)部門寶貴的時間，同時提高性能。

第三步：分類

看到什么樣的攻擊？ 了解它會怎樣繼續(xù)下去，以及需要采取什么樣的對策。

第四步：追溯

查明攻擊的來源——從何而來？它會影響哪里的網(wǎng)絡(luò)以及怎樣影響？這有助于辨別所看到的其他網(wǎng)絡(luò)問題是否與攻擊有關(guān)。

第五步：反應(yīng)

在發(fā)現(xiàn)攻擊并進行分類和跟蹤之后，一般就能更好地準備應(yīng)用最合適的緩解工具。沒有一種工具或者方法能夠適用于所有情形。最好是手邊有不同的工具包，并盡可能利用自動響應(yīng)功能。

第六步：事后

分析發(fā)生了什么？學(xué)到什么？如何能做得更好？每個人都錯過了哪一步驟？下一次如何能反應(yīng)更快，更輕松一些？針對發(fā)現(xiàn)的任何具體問題，回到第一階段，將其應(yīng)用到準備過程中。

通過最佳實踐防御來加強反應(yīng)能力

文章開頭提到的那家網(wǎng)絡(luò)游戲運營商的經(jīng)歷也凸顯了混合檢測和緩解解決方案的必要性。這種解決方案結(jié)合了基于云和本地部署的保護功能，目前大部分安全分析師都認為這是一種DDoS緩解的最佳實踐。如果只是基于云的服務(wù)，當攻擊已經(jīng)開始時，往往由客戶負責(zé)通知MSSP。本地部署的DDoS解決方案（設(shè)備的或者虛擬的）提供了網(wǎng)絡(luò)可見性，并有一些內(nèi)置的對抗措施，在意識到攻擊之前，檢測到攻擊時就會自動啟動對抗措施，而無需人工干預(yù)。這能夠節(jié)省寶貴的時間來啟動和協(xié)調(diào)事件響應(yīng)計劃。

在最佳實踐應(yīng)用場景中，本地部署和基于云的防御措施實現(xiàn)無縫保護。通過先進的“云信令”，當網(wǎng)絡(luò)中的攻擊流量達到設(shè)定容量時，本地部署設(shè)備通知云基礎(chǔ)設(shè)施啟動緩解措施。

毫無疑問，自動化提供了事件響應(yīng)中的關(guān)鍵優(yōu)勢。但不能完全依賴它，事件響應(yīng)計劃仍然需要。攻擊者肯定會采用先進的技術(shù)，但他們真正的優(yōu)勢在于其狡詐性。要想高效應(yīng)對DDoS，應(yīng)該把先進技術(shù)和人類智能結(jié)合起來，以阻止不正當?shù)男袨椤嵺`，實踐，再實踐。