防范DDos攻击实用方案

兵来将挡，水来土掩，万事皆有解决之道。

成功减轻DDoS攻击的基础包括：知道监视什么、全天候地监视这些征兆、有技术和能力来确认和减轻DDoS攻击，同时又允许合法的通信到达目的地，并拥有实时的正确解决问题的技能和经验。下面讨论的最佳方法就反映了这些原则。

最佳方法一：实现数据收集集中化，并理解其趋势

1、集中化监视

运用集中化监视功能，实现在一个位置就可以监视整个网络及通信模式;将通信的监管限制由一个小团队负责，以保持监管的连续性。

2、理解正常网络的通信模式

为建立进入企业的正常通信的基准，企业应当定期收集来自交换机、路由器及其它设备的样本数据包和其它有关信息。需要知道进入了哪些类型的通信(例如， SMTP、HTTP和HTTPS等)、何时进入(是每个星期三，还是每个月的第一天等)、从何处进入、进入了多少等。建立一个包含超过一年的正常通信模式的监视地图，并将此信息整合到一个用于威胁检测、警告和报告的相关引擎中。

3、跟踪全世界的DDoS历史趋势和威胁情报

对全球的攻击模式进行持续的跟踪和分析，快速验证潜在的攻击和新出现的攻击，并将吸取的教训纳入到适当的事件响应中。使用现有的情报查找预定义的反常问题(即分析签名)。使内部的情报收集与第三方情报供应商的情报相互补充，参与到业界的安全团体和论坛中，其中的信息共享有助于揭示异常活动。

4、实施专门的DDoS警告、日志、报告系统

确保所发出的警告能够告知安全管理员DDoS攻击的迹象，其中包括未必是基于攻击数量的攻击。实施一种日志和相关系统，收集可用于预防未来攻击的详细攻击数据。实施一种明确的过程，用于收集并评估事务、通信的总体状况、应用程序、协议、事件的报告。记住，事务报告与通信报告一样重要。例如，如果所预计的事务数量发生锐减，这比通信量的增加能更有力地表明可疑活动的存在。

5、与经验丰富的安全研究人员协同工作

如果企业并不知道怎样处理数据，即使最好的监视、检测、警告、日志和报告设备也是无用的。安全研究人员应当亲身实践，能够区分可疑通信与合法通信，并随着形势的变化而改变应对策略。

最佳方法二：定义一个明确的不断升级的发展路线

系统化的程序和方法对于有效减轻DDoS攻击是必不可少的。下面给出四大步骤：

1、定义一套标准的事件响应操作程序

在制定操作程序时，要考虑内部的基础架构、服务、应用程序以及可能受到影响的客户和合伙人资源。如果有必要，制定个别的标准化操作程序，以解决特定类型的攻击或受到攻击的特定资源。定期审查标准作业程序，并进行定期的“演习”，确保标准操作程序保持最新，并能正确发挥功能。

2、组建事件响应团队

不要等到发生攻击事件的凌晨才开始决定应当联系哪些人。应当准备、发布、经常更新逐步升级的联系人清单，其中包括用于内部团队、相关客户、厂商、合伙人、上游供应商(如应用程序服务供应商(ASP))的信息。如果你依赖一个互联网供应商(ISP)来减轻DDoS攻击，除非贵公司是一家大型公司，否则，你的服务请求有可能与其它公司的请求一起在排队等候。

3、解决不同职能部门的范围问题

由于DDoS攻击的防护与业务的连续性息息相关，因而它是一个全局性的目标。要确认职能部门和职责重叠的具体领域。必须打破不同部门(如网络团队和信息安全团队)之间的壁垒，澄清事件响应的角色和职责，并强化责任。

4、为“宕机时间(因故障而造成的停机时间)”做好准备

要理解哪些系统对于企业是生死攸关的，并且为网络或服务的故障而制定和测试三个计划：短期、中期、长期的连续性计划。

最佳方法三：使用分层过滤

减轻DDoS攻击的目标，是用最小的延迟排除恶意的非法通信，仅允许合法的通信进入网络。实现此目标最有效方法是，使用一种可以利用前文所述的所有方法的多层过滤验证过程。

1、分层过滤通信

使用签名分析、动态分析(根据对正常行为的监视和分析)、反欺骗算法等技术来主动过滤网络上游的有害通信。

2、在OSI堆栈的多层上都应用过滤器

虽然通过在网络层上实施过滤器就可以减少某些攻击，但是当代的攻击更复杂和深入，我们需要在包括应用层的多层上都进行分析和过滤。

3、必要时可限制通信速率

为防止“低容忍”的资源发生瘫痪，根据带宽的并发连接数量，可在必要时运用限制通信速率的能力。

4、能够快速改变和定制过滤器

在必要时，能够快速应用和清除标准过滤器(即签名)，也可以根据网络遭受的攻击变化来生成定制的过滤器。

5、随着时间的推移而强化规则集

分析境内外的多种情报、监视、警告和报告日志，然后使用这些信息来不断地更新规则集。

最佳方法四：构建可扩展性和灵活性

为确保在遭受攻击的条件下，系统能够正常发挥功能，企业必须拥有一个高扩展性的、灵活性的基础架构。

1、按需定制的能力

这种能力包括带宽以及硬件处理能力，以及需要处理通信负载的可扩展性。充足的能力至关重要，但要想在一个企业内部维持充足的能力却非常困难，并且常常是不现实的。例如，提供过度的带宽来吸收海量攻击需要花费大量的金钱去购买额外的带宽，甚至有可能还需要购买服务器。此外，在当今的环境中，过度配置带宽也往往是不够的，因为DDoS攻击的规模正以惊人的速度增长，而企业网络到互联网连接的速率一般是1Gbps及其以下。

2、找到临界点

要了解你的基础在遭受攻击的情况下是如何动作的。确定通信的特征，并确认哪些组件在面临沉重负载时会首先垮掉。例如，知道在哪个时点上防火墙或Web服务器会发生故障，知道哪些数据包或查询在某系统上所造成的后果比其它系统更严重。要在镜像生产环境中测试各种情况，而不仅仅是预报，并在改变了基础架构的任何部分后重新进行测试。

3、对基础架构建立负载平衡

一旦确认了临界点，下一步就应当对基础架构建立负载平衡，其目标是优化正常负载和峰值负载情况下的通信流。

4、考虑监视工具的可扩展性

必须保证在高负载的情况下，监视工具仍能继续工作。在有些消耗带宽的DDoS攻击中，监视往往名存实亡，甚至还会报告错误数据。例如，有些监视工具只能报告相同的值，因为它无法报告更高级的东西。

5、增强硬件和软件的多样性

并不是要构建多么复杂的IT环境，而是为了防御某些DDoS攻击针对特定厂商硬件和软件，因而不妨从多个厂商购买硬件和软件工具。

6、利用分布式模式

如果可能，利用一种分布式模式来为高价值的应用和服务构建和维持冗余性。

最佳方法五：解决应用程序和配置问题

如今的DDoS攻击摇身一变，从原来网络层的强力攻击演变成了更复杂、更难以检测的应用层攻击。攻击者能够知道个别应用程序通信活动的上限，并可以在网络通信激增过程中实施破坏。在总体网络环境中，增加通信并不是一个问题，但是如果目标应用程序对巨量通信的容忍度太低，攻击者就可以“拿下”应用程序。

1、理解你的应用程序

要知道每个应用程序能做什么，使用频率是多少，每个应用程序的请求看起来应当怎样，每个关键应用程序组件的正常业务的通信水平是怎样的，并决定一个应用程序被“淹没”的通信上限。如果有必要，为个别的应用程序定制通信流量。此外，要解决最简单的配置问题，这有助于将资源消耗型攻击，如SYN、PUSH、ACK洪水攻击等危害降到最低。

2、解决常用应用程序的漏洞

最易招惹DDoS攻击的三个应用程序漏洞是：不当的输入验证、缓冲区溢出、不正确的计算。这三个漏洞普遍存在于企业中，但修复这些漏洞的成本其实比较低。

3、成为一位好邻居

要确保非关键的应用程序和系统也不会遭到漏洞利用，从而不会被用于攻击其它网站。

最佳方法六：评估和选择供应商

在评估能够减轻DDoS攻击的托管服务供应商时，不妨考虑以下几个方面：

1、检测和减轻DDoS攻击的专业技术

考虑以下这些问题：该供应商是否拥有专业技术人员能够帮助客户制定对付DDoS攻击的长期战略?是否能够利用明确的系统化方法来组织并管理通信报告和应对DDoS攻击?DDoS的应对技术是其核心专业技术吗?

2、能力和可升级性

供应商能够吸收多大强度的攻击?在正常条件和在遭到攻击的条件下，你希望达到怎样的处理速度、内存速度、存储访问和延迟呢?

3、攻击管理

供应商能够管理攻击吗?它能够主动地检测攻击包吗?或者它要等到你的企业报告了“宕机”时间或其它征兆后才能检测?在遭受一次攻击期间，它能够阻止多少合法通信?会阻止多长时间?(请注意黑洞路由问题，许多第三方供应商使用此方法，它会阻止资源达到合法用户，因而满足了攻击者的目标。)

4、服务的透明性

该厂商是否可以让你透明地观察通信监视和减轻攻击的过程，以便于你理解在没有发生攻击和正在遭受攻击的情况下的通信特征呢?

5、过滤能力

在发生安全事件期间，供应商是否能够有效地过滤通信?如果能的话，它能够部署哪些功能?它能够为应用程序级、会话级和操作系统级的攻击提供过滤吗?能够部署多长时间?部署过滤器的服务等级约定是怎样的?

6、服务等级约定

在发生DDoS攻击后，托管服务供应商要用多长时间来通知你异常情况?你是否拥有专业的服务代表或者快速响应时间?你的服务请求是否需要排队等候?服务水平能否不断满足企业未来的融合和重组吗?

7、服务的可用性

在你的网络遭受攻击时，服务的可用性是98%还是99.99%?供应商在多个客户之间使用负载共享吗?供应商支持专用系统吗?

8、报告

在发生攻击事件后，供应商可能生成哪些报告?供应商能够保存与你企业有关的日志和报告多长时间?

9、联网安全

托管服务提供商是否有一套既定的安全基础设施来保护客户数据?它是否能够提供一个包括审计跟踪、数据加密(SSL)和口令保护的基于Web的安全入口?

10、物理安全

供应商是否为包含关键系统和机密数据的设施使用了军事级别的安全机制?它是否拥有冗余的系统用于电源、网络服务?它是否拥有冗余的数据存储?

11、易于使用

托管服务供应商是否提供定制的界面和报告工具呢?供应商是否提供一个Web入口(或网站)，从而可以对实时的网络通信和带宽利用提供警告和可见性，并能够检测异常情况?

至此，应对DDoS攻击的系列文章到此告一段落。文章主要从宏观策略上讨论了应对DDoS的最佳方案，但每一种方法和策略都不是孤立的，必须与其它的措施相结合，才能发挥其最大效益。

（编辑：Young）