幫助企業及其IT團隊預防DDoS攻擊

　　危險並非虛幻，且危險性越來越高

　　若是您覺得您的公司很小、很不重要，資金也不雄厚，缺乏認為進犯者感興趣的下手方針，則請您三思。任何公司公司都可以成為受害者，大多數安排都簡略遭到 DDoS進犯。無論您是《財富》國際500強公司、政府安排仍是小中公司(SMB)——城市出如今當今網絡壞人的方針清單之中。即使是深谙安全之道、動用許多資金和教授維護本身的公司，包羅亞馬遜、維薩卡、索尼、孟山都(Monsanto)農業生化、PostFinance付出、貝寶( PayPal)付出和美洲銀行(Bank of America)，也都成為了這一要挾的受害者。

　　比來，DDoS進犯事情的數量明顯增加，其進犯方案也在晉級，遠遠超越了100千兆位秒的流量。對亞洲一家電子商務網站的一次長時間進犯構成的僵屍網絡觸及超越25萬台僵屍電腦，聽說其間許多都在中國。

　　DDoS的進犯辦法形形色色

　　從最基本的層面上講，DDoS進犯是妄圖讓一台機器或一個網絡的資源無法為方針用戶所運用。盡管DDoS進犯選用的手法、動機和方針有所不一樣，但這種進犯一般包羅一人或多人企圖暫時或無限期中止或暫停主機與互聯網銜接的效勞。

　　一般狀況下，這要經過分布式僵屍網絡的協作來進行，要動用數百或數千台僵屍電腦，這些電腦之前已被感染並承受長途遙控，等候進犯者宣布指令。DDoS進犯的辦法是經過建議潮水般的大批量通訊，強迫覆滅效勞器資源，或運用內涵缺點，讓方針效勞器潰散。

　　潮水進犯包羅網間操控報文協議(ICMP)潮(比方smurf和Ping潮水進犯)、同步符(SYN)潮(運用假造的TCP/SYN包)，以及其他運用順序級的潮水進犯。潮水式DDoS進犯往往借力於大型分布式僵屍網絡的不對稱力氣。這些網絡可以創立多個線程，發送極大數量的懇求，使得網絡效勞器癱瘓。

　　潰散進犯一般發送運用操作體系漏洞的變形數據包。運用順序級的DDoS進犯經過運用效勞器運用順序(比方緩沖溢出或叉路炸彈)來使體系潰散。歹意軟件搭載的DDoS進犯可以用木馬病毒損害潛在的僵屍網絡體系，木馬反過來會觸發許多下載僵屍署理順序。

　　此外，進犯現已變得愈加雜亂。例如，僵屍網絡可以不只僅對方針效勞器潮水般地傳達數據包，而且有可以侵入性地與效勞器樹立聯絡，從內部發動極大數量的假造運用處置。

　　為什麼用DDoS?

　　犯罪分子運用DDoS，由於它價錢低廉、難以發現且十分高效。DDoS進犯很廉價，是由於它們運用了由不計其數的僵屍電腦組成的分布式網絡，這些電腦經過電腦蠕蟲病毒或其他自動化辦法抓獲。例如，DDoS進犯MyDoom就是運用一種蠕蟲病毒來分布潮水進犯建議的指令。由於這些僵屍網絡在全球范圍內生意，在黑市上垂手而得，進犯者可以用不到100美元采辦僵屍網絡的運用權進行潮水進犯，或許以低至每小時5美元的價錢雇傭別人進行特定的進犯。

　　DDoS 的進犯很難勘探到，由於它們常常運用正常的銜接，並仿照正常的授權通訊。成果，這種進犯十分高效，由於一般狀況下方針效勞器會過錯地信賴通訊，履行這些懇求而結尾將本身吞沒，促成了進犯。比方，在HTTP-GET潮水進犯(例如Mydoom)中，懇求經過正常的TCP銜接發送，並被網絡效勞器認定為合法內容。

　　受金錢或意識形態唆使

　　受金錢唆使的DDoS進犯一般是依據敲詐敲詐或競賽。敲詐方案往往是需求受害安排付出大筆贖金來防止回絕效勞，從而使敲詐方獲利。例如，據報道，一家英國的電子賭博網站在回絕贖金需求後，遭到了DDoS進犯而癱瘓。

　　來自不道德商業競賽對手的進犯比大家幻想中的更為廣泛。一項職業查詢發現，對美國公司的一切DDoS進犯有一半以上是由競賽對手建議的，以得到不正當的商業優勢。

　　意識形態進犯可以由政府安排或草根黑客積極分子建議。黑客積極分子經過堵塞高聞名度的安排或網站來讓本人聞名，以表達不一樣的政見或沖突的做法。或許當今最臭名遠揚的黑客積極分子的比方之一是松懈的集體“無名氏(Anonymous)”，其宣稱本人的責任(和名聲)是黑掉聞名安排，像聯邦查詢局和中央情報局等的網站，並現已瞄准了廣泛六大洲的25個國家的網站。

　　下一個受害者是誰?

　　由於黑客積極分子的進犯日程很不安穩、無法猜測，任何公司都有可以被作為最新熱門的標志，遭到黑客的進犯。聞名度高的安排(比方Facebook)或活動(比方奧運會、歐洲杯或美國大選)的網站很簡略成為進犯方針。

　　而關於由政府建議的網絡戰DDoS進犯，易受突擊的就不止是政府方針了。這些進犯也可以瞄准供給要害基礎設施、通訊和運送效勞的相關供貨商，或許企圖損壞要害事務或金融交易效勞器。

　　依據雲的效勞如今也獨特簡略遭受對准性的進犯。由於需求進行過量核算或事務處置的網站(比方綜合性的搜索引擎或數據發掘網站)十分火急地需求資源，它們也是DDoS進犯的首選方針。

　　IT有些能做什麼

　　明顯，IT有些需求進步警覺，先下手為強，抵擋DDoS進犯。職業剖析公司加特納(Gartner)指出，“當公司依賴於互聯網銜接的可用性時，DDoS進犯防護應該成為商業連續性/災禍康復方案的一個規范有些，並歸入一切的互聯網效勞收購方案。”要有用做到這一點，一家公司必須在面臨 DDoS進犯時得到預先示警，做好准備充分，並具有應對的彈性。

　　IT有些需求得到預警

　　簡略來說，IT有些應該曉得誰是網絡效勞供給商(ISP)。IT有些應該與效勞供給商攜手協作，擬定好有用的應急預案。在許多狀況下，網絡效勞供給商可以成為抵擋DDoS進犯的第一條防地。

　　IT 應該清晰本身的單薄環節。一個准備充分的IT安排應該可以辨認最簡略被DDoS進犯覆滅的網絡有些，比方互聯網管道、防火牆、侵略防護 (IPS)、負載平衡器或效勞器。此外，IT有些需求親近監督這些可以在進犯下墮入癱瘓的有些，而且評價能否需求晉級或優化其功能和彈性。

　　最終，IT有些應該知道本身的通訊狀況。IT有些無法操控其無法看到的事物。因而，IT有些應該掃描和監督進出流量，以便看到反常的通訊量或形式，並經過這些反常斷定方針網站或發現網絡內的僵屍網絡。為了做好充分准備，IT有些也需求檢查7層的通訊流量，以斷定和操控混合的、運用順序層的 DDoS進犯。

　　IT有些需求進步警惕

　　IT安排應該在評價和布置恰當的應對產物和效勞上大力出資。例如，一些下一代防火牆具有集成侵略勘探和應對已知DDoS進犯防止對策，只需有繼續供給最新簽名，就能自動更新。

　　抱負狀況下，IT有些需求防火牆深化掃描出站和入站的通訊流量——包羅檢查運用順序——而且監控可疑形式，以及向辦理層示警。IT有些應該斷定防火牆解決方案可以依據辨認的形式、通訊量或特征，經過阻斷、過濾或從頭定向，對DDoS進犯施行彌補。

　　為了綜合性通訊智能，IT有些也可以思考裝置流量剖析軟件，這些軟件可以依照不一樣運用順序或用戶檢查運用數據、在不一樣的時間段檢查數據，而且相關多個來歷的通訊數據，比方NetFlow和IPFIX。

　　展望未來，IT有些的領導應該不時重視新式技能，以便將其歸入武器庫。例如IP地輿定位，這種技能可以協助辨認入站數據包的可疑地輿來歷。

　　IT有些應該具有彈性

　　如上所述，回絕效勞進犯是樹立在體系覆滅和堵塞上的。只需有可以，IT有些應該憑仗高冗余、高功能的組件，以及依據方針的帶寬辦理，進步網絡的彈性。

　　例如，某些下一代防火牆可以聯系大方案擴大多核描繪和近線速深層數據包掃描技能，完成多重要挾和運用同步掃描、對一切巨細文件的剖析和數千兆速度的銜接。這類防火牆可以對准的遭到進犯進行最佳功能和靈敏性裝備，帶有自動/自動高可用性(HA)毛病搬運、運用智能和操控，以及帶寬優先化。

　　結束語

　　若是一家安排的事務遍及互聯網，那麼，它成為DDoS進犯的方針將不是會與不會的問題，而是何時的問題。不過，IT有些有許多可以采納的辦法，盡量削減和防止這種影響。IT安排應該與公司領導層親近配合，提前警示本身的單薄有些，准備好相應的對策，並憑仗高功能、高冗余的網絡安全組件來靈敏地抵擋進犯。

　　本文原文地址：http://www.zkddos.com/wendang/jishu/16.html，轉載請注明出處，同時歡迎大家訪問博客並提出意見和建議。