毫無疑問，近期策劃重大DDoS攻擊的那些人對(duì)互聯(lián)網(wǎng)的內(nèi)部運(yùn)作原理有著深入了解。由于攻擊者對(duì)這些專業(yè)知識(shí)的掌握了解，以及一些重要互聯(lián)網(wǎng)協(xié)議缺少基本安全保障，導(dǎo)致當(dāng)談到保護(hù)企業(yè)自身安全和防范這種類型的攻擊時(shí)，許多的企業(yè)處于劣勢(shì)。

這就是為什么許多企業(yè)、政策和行業(yè)組織一直致力于制定廣泛的行業(yè)計(jì)劃，減小危害巨大的DDoS攻擊的發(fā)生率。在大多數(shù)國(guó)家，已通過了宣布DDoS攻擊為非法的法律，比如美國(guó)的《計(jì)算機(jī)欺詐和濫用法案》以及英國(guó)的《計(jì)算機(jī)濫用法案》，但是立法對(duì)網(wǎng)絡(luò)犯罪起不了多大的威脅效果。

本文將主要探討如何減小DDoS攻擊的發(fā)生率和破壞力，以及如何結(jié)合使用內(nèi)部和基于云的DDoS緩解控制措施，盡量減小日益復(fù)雜的DDoS攻擊對(duì)企業(yè)業(yè)務(wù)造成的干擾和破壞。

評(píng)估DDoS攻擊的威脅

DDoS攻擊的破壞力很大，足以威脅到整個(gè)國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施，這個(gè)事實(shí)可以解釋為何諸多政府部門在開始要求：必須制定DDoS緩解方案。比如說，受聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)監(jiān)管的金融機(jī)構(gòu)現(xiàn)在必須監(jiān)控?zé)o無遭到DDoS攻擊，要有隨時(shí)就能激活的事件響應(yīng)方案，并確保在攻擊持續(xù)期間有足夠的人手，包括求助事先簽好的第三方服務(wù)，如果有的話。還鼓勵(lì)金融機(jī)構(gòu)將攻擊方面的詳情上報(bào)金融服務(wù)信息共享和分析中心以及執(zhí)法部門，幫助其他機(jī)構(gòu)識(shí)別和緩解新的威脅及手法。

針對(duì)DDoS攻擊等網(wǎng)絡(luò)威脅的全球合作在加強(qiáng)。由于僵尸網(wǎng)絡(luò)是一大威脅及常見的DDoS武器，聯(lián)邦調(diào)查局(FBI)和國(guó)土安全部與另外100多個(gè)國(guó)家共享了他們認(rèn)為被感染了DDoS惡意軟件的成千上萬(wàn)臺(tái)計(jì)算機(jī)的IP地址。白宮網(wǎng)絡(luò)安全辦公室、商務(wù)部、國(guó)土安全部以及行業(yè)僵尸網(wǎng)絡(luò)組織也在緊密地合作，共同對(duì)付和打擊僵尸網(wǎng)絡(luò)。打掉僵尸網(wǎng)絡(luò)無疑有助于改善安全形勢(shì)，但這是一項(xiàng)永遠(yuǎn)不會(huì)結(jié)束的任務(wù)。

實(shí)施DDoS緩解控制措施，對(duì)DDoS攻擊說不!

針對(duì)分布式拒絕服務(wù)的緩解方案不可忽視，因?yàn)檫@種攻擊的頻率和復(fù)雜性給更多的企業(yè)組織構(gòu)成了威脅。如今的DDoS攻擊結(jié)合了大強(qiáng)度的蠻力攻擊和應(yīng)用程序?qū)庸簦M量造成最大程度的破壞，并躲避檢測(cè)機(jī)制。有些DDoS攻擊利用了成千上萬(wàn)中招的系統(tǒng)或Web服務(wù)，會(huì)給企業(yè)在成本和聲譽(yù)方面極其重大的破壞，拒絕服務(wù)日益成為高級(jí)針對(duì)性攻擊的一部分。好消息是，你可以使用好多工具，盡量減小這種類型的攻擊給客戶和收入造成的影響。

想緩解DDoS，首先就要確保你已定義了事件響應(yīng)流程，并且明確了責(zé)任，這就需要多個(gè)小組通力合作。DDoS防范規(guī)劃需要安全團(tuán)隊(duì)與網(wǎng)絡(luò)操作人員、服務(wù)器管理員和桌面支持人員以及法律顧問和公關(guān)經(jīng)理攜起手來。

一旦DDoS事件響應(yīng)方案落實(shí)到位，你就可以關(guān)注四大方面的DDoS緩解控制措施，盡量減小DDoS攻擊給業(yè)務(wù)造成的干擾和破壞。在此按重要性順序排列：

•互聯(lián)網(wǎng)服務(wù)提供商(ISP)。大多數(shù)ISP都有“潔凈的網(wǎng)絡(luò)管道”(Clean Pipe)或DDoS緩解服務(wù)，收費(fèi)通常要比標(biāo)準(zhǔn)的帶寬成本高一些。基于ISP的服務(wù)對(duì)許多中小企業(yè)來說很管用，也符合預(yù)算方面的要求。別忘了一點(diǎn)：云服務(wù)提供商和主機(jī)托管商也是ISP。

•DDoS緩解即服務(wù)提供商。如果你有多家ISP，第三方DDoS緩解即服務(wù)提供商也許是一種更明智的選擇，不過基于云的服務(wù)通常成本更高。如果改變DNS或BGP路由，讓攻擊流量通過DDoS SaaS提供商來發(fā)送，你就能過濾掉攻擊流量，無論哪家ISP來為你處理。

•專用的DDoS緩解設(shè)備。你可以在互聯(lián)網(wǎng)接入點(diǎn)部署DDoS緩解設(shè)備，以此保護(hù)服務(wù)器和網(wǎng)絡(luò)。不過，蠻力攻擊可能仍會(huì)耗盡你的所有帶寬