不要成為反DDoS攻擊的局外人

「知物由學」是網易雲易盾打造的一個品牌欄目，詞語出自漢·王充《論衡·實知》。人，能力有高下之分，學習才知道事物的道理，而後才有智慧，不去求問就不會知道。「知物由學」希望通過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時，也希望打開你的眼界，成就不一樣的你。當然，如果你有不錯的認知或分享，也歡迎通過郵件（zhangyong02@corp.netease.com）投稿。

作者：George V. Hulme，是國際公認的信息安全和商業技術作家。20多年來，Hulme一直撰寫商業、技術和IT安全主題的文章。

以下為譯文：

DDoS攻擊比以往任何時候更兇殘，隨時攻擊任何人。考慮到這一點，我們收集了一些關於防止DDoS攻擊的基本建議。

1.你的反DDoS計劃準備好了嗎

機構必須嘗試預測成為應用程序和網路服務對手的攻擊目標，並起草應急響應計劃以對抗這些攻擊。

Tsantes說：「企業越來越關注這些攻擊，並計劃如何應對。他們越來越擅長整合自己的內部攻擊信息以及他們的供應商提供給他們的信息來幫助他們對抗這些攻擊。」

IBM的Price同意到： 「各機構的響應越來越好。他們正在整合內部的應用程序和網路團隊，並且他們知道何時需要升級攻擊響應來預防攻擊。隨著攻擊者變得越來越複雜，金融機構也越來越複雜。」

Day說：「如果確實發生了影響業務的DDoS攻擊，包括影響良好的公共消息的傳遞，則還應該制定災難恢復計劃和測試過程。基礎設施的類型和地域的多樣性也可有助於減輕DDoS攻擊，以及公共和私有雲的適當混合化。

BeyondTrust的技術人員ScottCarlson說：「任何大型企業都應該從使用的多個WAN入口點的網路級別保護開始，並與大型流量清理供應商達成協議，如Akamai或F5，以在攻擊快要到達之前減輕和重新路由攻擊。」沒有任何物理的DDoS設備能夠跟上WAN速度攻擊，所以必須首先在雲中清除它們。確保你的操作人員適當、方便地重新路由流量進行刷洗，並故障轉移網路設備來達到飽和。」

2.進行實時調整

在2012年和2013年，當一波又一波的攻擊了許多金融服務和銀行業的時候，這些攻擊殘酷且複雜，企業真的需要能夠實時調整。其中包括Bank of America（美國銀行）、 Capital One（第一資本公司）、Chase（美國大通銀行）、Citibank（花旗銀行）、 PNC Bank（匹茲堡國民銀行） 和Wells Fargo（富國銀行）。美洲Arbor Networks解決方案架構師Gary Sockrider表示:「這些攻擊不僅是多矢量的，而且策略也在實時變化。」攻擊者會觀察網站的響應，當網站重新上線時，黑客會調整並採用新的攻擊方式。

「他們是堅決的，且總是變換著策略在一些不同的埠、協議或新來源上攻擊你。」他說，「企業必須做好防禦準備，像攻擊者一樣迅速、靈活。」

3.爭取DDoS保護和減輕服務

CynergisTek公司的網路安全策略副總裁JohnNye解釋說，在這些攻擊發生時進行調整的事情上公司可以有很多方法，但使用第三方DDoS保護服務可能是最實惠的方法。「可以在企業內部，通常是在SOC或NOC中監視過度的流量，如果它與合法的流量有足夠的區別，則它可以被web應用程序防火牆(WAF)或其他技術解決方案阻塞。雖然可以構建一個更健壯的基礎設施來處理更大的流量負載，但與使用第三方的服務相比，這種解決方案的成本要高得多。」

數據中心服務提供商Cyxtera的網路安全總監Chris Day同意Nye的觀點，即企業應該考慮獲得專業幫助。「企業應該與DDoS緩解公司或它們的網路服務提供商合作，使其具備減輕能力，或者至少準備好在攻擊發生時能迅速部署。」

「如果一個企業的網路存在對他們的業務至關重要，那麼它做的最有用的事情就是招募第三方DDoS保護服務，」Nye補充道，「我不會推薦任何特定的供應商，因為最好的選擇都是視情況定的，並且如果一個企業正在考慮使用這樣的服務，他們應該徹底調查各種選擇。」

4.不要只依靠外圍防禦

在對幾年前金融服務公司的DDoS攻擊採訪中發現他們傳統的內部安全設備（防火牆、入侵預防系統、負載平衡器）無法阻止攻擊。

當談到幾年前對銀行和金融服務的攻擊時，Sockrider說：「我們看著這些設備無用，得到的經驗非常簡單:你必須有能力在DDoS攻擊到達那些設備之前減輕它。它們就像你試圖保護的伺服器一樣易受攻擊。」部分減輕措施將不得不依賴上游網路提供商或託管安全服務提供商，它們可以在遠離網路邊界的地方中斷攻擊。

當您面臨高容量攻擊時，減輕上游的進一步攻擊尤為重要。

Sockrider說：「如果你的網路連接是10GB，而你卻受到了100GB的攻擊，那麼試圖以10GB的速度與之抗衡是沒有希望的，你已經在上游被屠殺了。」

5.在線應對應用層攻擊

對特定應用程序的攻擊通常是隱蔽的、低容量的和更有針對性的。

Sockrider說 「它們被設計成在雷達下飛行，所以你需要在現場或數據中心進行保護，這樣你才可以進行深度數據包檢查，並在應用層看到所有東西。」這是減輕此類攻擊的最佳方式。

Signal Sciences的戰略、市場合伙人Tyler Shields補充道:「公司將需要一個能夠處理應用層DoS攻擊的web保護工具。特別是需要您配置的滿足業務邏輯的時，基於網路的緩解不再足夠。」

容量安全公司AquaSecurity的聯合創始人和首席技術官Amir

6.合作

當涉及到這些攻擊時，銀行業正在進行一些合作。他們顯示的每一件事的保護與分享都是嚴格的，所以在某種程度上，銀行在合作方面比大多數企業做得更好。

IBM金融部門的安全策略師Lynn Price表示：「他們與電信提供商合作，且直接與服務提供商合作。他們不得不這樣，因為孤立地工作無法取得成功。」

例如，當金融服務業被定為攻擊目標時，他們轉向金融服務信息共享和分析中心尋求支持，並共享有關的威脅信息。AkamaiTechnologies的金融服務首席策略師里Rich Bolstridge表示，「在一些信息共享會議上，大型銀行在討論正在被攻擊的類型以及採取的被證明有效的解決方案時非常開放。那樣，大型銀行至少在持續的互相交談中。」

不考慮企業是什麼，金融業的戰略是可以且應該在其他地方被採納的戰略。

7.小心二級攻擊

DDoS攻擊雖然代價高，但有時也可能只是分散注意力，為更惡毒的攻擊提供掩護。

Price說「DDoS可以成為來自另一個方向攻擊的更嚴重攻擊的轉移策略。銀行需要意識到他們不僅要監測和維護DDoS攻擊,也必須關注DDoS可能只是多方面攻擊中的一個方面這件事,這也許是為了竊取賬戶或其他敏感信息,「

8.保持警惕

儘管很多時候DDoS攻擊似乎只針對高檔次的行業和公司，但研究顯示這並不一定。如今的數字供應鏈相互關聯，每家企業都依賴於數十家甚至數百家在線供應商，在線的網路攻擊活動有所增加，有其他國家的政府支持的企業攻擊，且DDoS攻擊易於發起，因此每個機構都必須將自己視為被攻擊的目標。

因此，請做好準備，並將本文中的建議作為啟動點來構建你自己的反DDoS策略吧！