盡管因特網(wǎng)安全技術在發(fā)展,高調的拒絕服務(denial-of-service��,簡稱DoS)攻擊還是不斷地干擾許多組織的運轉����。少數(shù)公司已經(jīng)準備好應付DoS攻擊,但是對于組織來說在DoS攻擊發(fā)生前進行DoS攻擊響應規(guī)劃至關重要���。這些業(yè)務連續(xù)性規(guī)劃應該不僅包括技術步驟���。更為全面深入的 DoS攻擊預防規(guī)劃必須判斷如何在特定的場景下繼續(xù)業(yè)務運轉。在本文中��,我們會援引最近發(fā)生的DoS攻擊事件來分析DoS威脅的廣度和深度�,和如何同時從技術以及關鍵業(yè)務和通信策略出發(fā)來應對DoS攻擊,這些能有助于更快和更經(jīng)濟地處理狀況。
DoS威脅的寬度和深度
在2000年發(fā)生著名的針對Yahoo�����、eBay�����、CNN和Amazon web站點Mafiaboy(黑手黨男孩) DDoS攻擊前��,DoS攻擊已經(jīng)出現(xiàn)有一段時間了�����。然而自從那以后DoS攻擊的威脅發(fā)生了極大的變化��。在Mafiaboy攻擊時期�,大多數(shù)的工具要求某種程度的專業(yè)技能,但是更多現(xiàn)代的用JavaScript編寫的工具是在用戶的Web瀏覽器內運行�����,這使得事實上任何人都可能嘗試發(fā)起DoS攻擊���。聲名狼藉的黑客團體Anonymous在他們的DDoS攻擊中已經(jīng)使用了這些工具。這些攻擊工具一直是用于發(fā)起基礎的IP和應用級別攻擊,造成企業(yè)的帶寬和處理能力被壓垮�。
而且,當攻擊者擁有許多攻擊節(jié)點�����、或者換句話說就是用于DDoS攻擊的僵尸網(wǎng)絡(botnet)時���,DoS攻擊仍然是最為有效的方式����。這是因為很難阻斷大量的攻擊來源����,并且對于單個攻擊系統(tǒng)來說要求的帶寬是低的,所以即使是網(wǎng)速很慢的系統(tǒng)也能被利用來攻擊����。
DoS攻擊響應準備:業(yè)務規(guī)劃
公司對于DoS攻擊準備的工作應該包括通信、業(yè)務連續(xù)性規(guī)劃以及讓ISP參與進來���。如果企業(yè)的Web站點位于公司外的主機提供商��,必須確保服務提供商擁有能力��、工具和流程來及時地對DoS攻擊做出響應�。不管使用什么工具,服務提供商需要知道如何有效地使用該工具并且制定有效的流程��。如果在DoS攻擊后沒有取消一些短期地將DoS攻擊影響最小化步驟���,可能在復雜性上造成消極的長期影響�����。
企業(yè)也應該在它和服務提供商的合同條款中包括DoS攻擊響應服務內容����,并且可能的話甚至增加應該包括在服務品質協(xié)議(service-level agreement���,簡稱SLA)中的響應的詳細內容����。例如�����,確保SLA要求記載響應時間是明智的���,因為對于企業(yè)的Web站點來說更短的宕機時間可能帶來更快的響應時間�����。
當協(xié)商合同內容時���,可能也要提前協(xié)商費用以及額外的使用報價。提前做這些事情以防在事故期間服務提供商因為額外的服務索要離譜的費用�。以協(xié)商好的價格擁有SLA也能確保ISP或是主機提供服務商滿足可用性要求,例如企業(yè)Web 站點99.9%的正常運作時間�。
同樣,在規(guī)劃對DoS攻擊做出響應時�,企業(yè)的計算機安全事故響應團隊(computer security incident response team,簡稱CSIRT)應該建立與業(yè)務部門�、包括在業(yè)務運作方面主要決策者溝通的方法,以確保在事故期間告知重要的利益相關人并與其磋商�。應該認定主要的決策者,并且賦予其在最壞情況下中斷因特網(wǎng)連接�、或是僅是中斷部分因特網(wǎng)連接的權力。禁用因特網(wǎng)連接可能要求高層領導簽署決策����,但是斷開單個網(wǎng)絡連接可由CSIRT團隊決定。同相關內部部門的溝通也應該開放��,包括市場或是公眾關系部門,以便這些部門能夠就該DoS攻擊事件和媒體交流�����。建立這些溝通渠道也能幫助認定主要決策者����,例如搞清楚如果需要的話誰能授權購買新的DoS防范網(wǎng)絡設備來將攻擊的影響最小化。
DoS攻擊響應準備:技術響應
對于包括DoS攻擊在內的任何事故響應情況來說�����,準備工作對于快速地緩解該問題是關鍵的��。準備工作取決于攻擊類型����,以及因特網(wǎng)主機位于何處。技術上的準備工作能夠劃分為網(wǎng)絡和Web基礎設施部分����,包括辨識、響應和監(jiān)控�。辨別DoS攻擊可能從簡單的,如收到某個消費者無法使用Web站點的通知���,到更為復雜的����,例如收到來自帶寬監(jiān)控工具的通知�,報告WAN連接使用率過高。
一旦被告知可能發(fā)生的事故����,要調查被攻擊的基礎設施來判斷最有效的響應措施。通過觀察IDS�����、數(shù)據(jù)流�、服務器日志、應用日志或是其它網(wǎng)絡數(shù)據(jù)�,并且查找高使用率模式來辨別被攻擊的特定服務器或是應用。如果某個Web應用被攻擊���,響應措施可能是將該Web站點遷移到另外的主機服務提供商����、服務器或是網(wǎng)絡�,或者是利用DoS防護工具來確保業(yè)務運作的持續(xù)性�。這些服務器或服務甚至可以遷移到云服務提供商或是內容分發(fā)網(wǎng)絡上�。可以使用監(jiān)控來判斷是否攻擊已經(jīng)停止�、發(fā)生變化或是需要額外的措施。監(jiān)控手段可能僅是利用偵測工具并且創(chuàng)建當滿足閾值條件時的告警�,例如80%的連接利用率或是大量的UDP連接。你也可以聯(lián)系攻擊源頭的ISP來要求他們阻斷他們的顧客參與DDoS攻擊或是阻斷攻擊來源��。你可以自己來阻斷攻擊來源�,但是阻斷大量的攻擊計算機可能是困難的。一旦DoS攻擊減弱后���,要么取消措施�����、或是將Web站點移回原來的主機上�。要評估防護措施是否到位或者是應該保持長期的變更�。
結論
DoS攻擊可以使業(yè)務癱瘓,但是提前準備的話���,對業(yè)務的干擾能夠降至最低��。DoS攻擊的發(fā)展已經(jīng)使得阻斷它們和追溯所有的攻擊來源更加困難�,但是新的方法可以將其影響最小化。要阻止此類攻擊不太可能�����,而有準備工作保障持續(xù)地運轉業(yè)務是可能的�����。但是準備工作必須不僅包括公司內部的技術措施��,還應該包括與外部服務提供商詳盡的溝通和規(guī)劃�����,由詳細的SLA提供的支持會防止發(fā)生事故時預料外的耽擱和費用�����。
