怎么减小DDoS攻击的发生率和破坏力？

毫无疑问，那些最近计划进行重大DDOS攻击的人对互联网的内部运作原理有着深刻的理解。由于攻击者对这些专业知识的理解，以及一些重要的互联网协议缺乏基本的安全保障，许多企业在谈到保护企业自身安全和预防这类攻击时处于劣势。这就是为什么许多企业、政策和行业组织一直致力于制定广泛的行业计划，以降低DDOS攻击的发生率。在大多数国家，已经通过了宣布DDOS攻击是非法的法律，如美国的计算机欺诈和滥用法案和英国的计算机滥用法案，但立法对网络犯罪没有太大的威胁。本文将主要讨论如何降低DDOS攻击的发生率和破坏力，以及如何结合使用内部和基于云的DDOS缓解控制措施，以减少日益复杂的DDOS攻击对企业业务的干扰和破坏。对DDOS攻击的评估具有巨大的破坏性，足以威胁到整个国家的关键基础设施。这一事实可以解释为什么许多政府部门开始要求DDOS缓解计划。例如，受联邦金融机构检查委员会监督的金融机构现在必须监控所有DDOS攻击，并有一个可以随时激活的事件响应计划，以确保在攻击期间有足够的人员，包括提前签署的第三方服务。还鼓励金融机构向金融服务信息共享分析中心和执法部门报告攻击细节，帮助其他机构识别和缓解新的威胁和技术。全球合作正在加强，以应对DDOS攻击等网络威胁。联邦调查局因为僵尸网络是一种大威胁和常见的DDOS武器(FBI)与国土安全部和其他100多个国家分享了成千上万台计算机的IP地址，他们认为自己被DDOS恶意软件*了。白宫网络安全办公室、商务部、国土安全部、行业僵尸网络组织也在密切合作，共同应对和打击僵尸网络。打破僵尸网络无疑有助于改善安全状况，但这是一项永远不会结束的任务。实施DDOS缓解控制措施，对DDOS攻击说不！由于这种攻击的频率和复杂性对更多的企业组织构成了威胁，因此分布式拒绝服务的缓解方案不容忽视。今天的DDOS攻击结合了大强度的蛮力攻击和应用程序层攻击，尽量造成最大的破坏，避免检测机制。一些DDOS攻击使用成千上万的招聘系统或网络服务，这将对企业的成本和声誉造成极大的损害，拒绝服务日益成为高级针对性攻击的一部分。好消息是，你可以使用很多工具来减少这种攻击对客户和收入的影响。要缓解DDOS，首先要确保你已经定义了事件响应流程，并明确了责任，这就需要多组合作。DDOS预防规划要求安全团队与网络运营商、服务器管理员、桌面支持者、法律顾问和公关经理携手合作。一旦DDOS事件响应方案落实到位，就可以关注四个方面的DDOS缓解控制措施，尽量减少DDOS攻击对业务的干扰和破坏。按重要性顺序排列：•互联网服务提供商(ISP)。大多数ISP都有“干净的网络管道”(CleanPipe)或者DDOS缓解服务，收费通常高于标准带宽。对许多中小企业来说，基于ISP的服务非常有效，也符合预算要求。别忘了：云服务提供商和主机托管商也是ISP。•DDOS缓解是服务提供商。如果你有多个ISP，第三方DDOS缓解服务提供商可能是一个更明智的选择，但基于云的服务通常更昂贵。如果您改变DNS或BGP路由，并通过DDOSSaaS提供商发送攻击流量，您可以过滤攻击流量，无论哪个ISP为您处理。•专用DDOS缓解设备。为了保护服务器和网络，可以在互联网接入点部署DDOS缓解设备。然而，蛮力攻击可能会耗尽你所有的带宽――即使服务器没有崩溃，客户仍然无法正常访问。•基础设施部件：如负载平衡系统、路由器、交换机和防火墙。依靠企业的操作基础设施来缓解DDOS攻击是注定要失败的策略，只能对付最弱的攻击。然而，这些部件可以起到协同缓解DDOS的作用。大多数企业需要结合外部服务和内部DDOS缓解能力。对员工的技能水平进行实际评估――如果您的IT安全人员能够检测和分析威胁，从内部DDOS缓解开始，然后逐步改进策略，加入外部服务。如果您没有足够的人力或所需的技能组合，您不妨从外部服务开始，并考虑未来添加托管CPE（用户端设备）的缓解能力。无论您最终选择哪种结构，DDOS缓解控制措施每年至少要测试两次。在外部服务提供商的帮助下，检查路由和DNS的变化，确保流量传输到外部服务，不会造成重大干扰――此外，确保直接路由能够顺利切回。在正常运行过程中，网络配置和DNS路由经常发生变化――在实际的DDOS攻击之前，你必须弄清楚这一点。为了防止DDOS攻击，长期的解决方案是加强攻击者发动攻击的互联网协议，并要求升级系统，以获得最佳实践。例如，许多DDOS攻击之所以能够成功，是因为攻击者通常使用被欺骗的源IP地址来生成流量。IETFBestcomonPractices文档BCP38建议，网络运营商应过滤从下游客户进入其网络的数据包，丢弃地址范围内的任何数据包。这样，黑客就不能发送声称来自另一个网络的数据包（即欺诈攻击）。然而，根据BCP38的要求，需要一笔支出，但没有立竿见影的效果。因此，虽然对更广泛的社区有益，但尚未全面实施。网络管理员可以确保他们遵守其他最佳实践，从而加强互联网的整体安全。例如，他们应该熟悉国土安全部发布的DDOS快速指南(DDoSQuickGuide)，开放式解析器项目也应实施(OpenResolverProject)等项目给出的建议。对于DNS放大DDOS攻击，开放式解析器可以回复域外主机的递归查询。该项目列出了2800万个构成重大威胁的分析器，并提供了详细的指导，教人们如何配置DNS服务器，以减少DNS扩大攻击的威胁。和往常一样，如果能保证最新版本的软件已经安装，系统不容易被黑客攻击，黑客往往试图利用其资源作为DDOS攻击的一部分。虽然金融机构和其他大型企业是一些攻击者眼中的明显目标，但他们至少有财力和资源来采用最新的安全技术和最佳实践。然而，资源有限的小企业仍然面临着强大的竞争对手。这也是谷歌启动的盾牌项目(ProjectShield)原因之一：全面共享DDOS缓解资源，实施行业最佳实践可能需要时间和资源，可能不会立即带来回报，但互联网是一个完整的社区项目，打击DDOS攻击是每个人的共同责任。除非每个人都做出贡献，否则无论有多少计划，我们都无法摆脱该死的DDOS攻击。