尽管因特网安全技术在发展,高调的拒绝服务(denial-of-service,简称DoS)攻击还是不断地干扰许多组织的运转。少数公司已经准备好应付DoS攻击,但是对于组织来说在DoS攻击发生前进行DoS攻击响应规划至关重要。这些业务连续性规划应该不仅包括技术步骤。更为全面深入的DoS攻击预防规划必须判断如何在特定的场景下继续业务运转。在本文中,我们会援引最近发生的DoS攻击事件来分析DoS威胁的广度和深度,和如何同时从技术以及关键业务和通信策略出发来应对DoS攻击,这些能有助于更快和更经济地处理状况。
DoS威胁的宽度和深度
在2000年发生着名的针对Yahoo、eBay、CNN和Amazon web站点Mafiaboy(黑手党男孩) DDoS攻击前,DoS攻击已经出现有一段时间了。然而自从那以后DoS攻击的威胁发生了极大的变化。在Mafiaboy攻击时期,大多数的工具要求某种程度的专业技能,但是更多现代的用JavaScript编写的工具是在用户的Web浏览器内运行,这使得事实上任何人都可能尝试发起DoS攻击。声名狼藉的黑客团体Anonymous在他们的DDoS攻击中已经使用了这些工具。这些攻击工具一直是用于发起基础的IP和应用级别攻击,造成企业的带宽和处理能力被压垮。
而且,当攻击者拥有许多攻击节点、或者换句话说就是用于DDoS攻击的僵尸网络(botnet)时,DoS攻击仍然是最为有效的方式。这是因为很难阻断大量的攻击来源,并且对于单个攻击系统来说要求的带宽是低的,所以即使是网速很慢的系统也能被利用来攻击。
DoS攻击响应准备:业务规划
公司对于DoS攻击准备的工作应该包括通信、业务连续性规划以及让ISP参与进来。如果企业的Web站点位于公司外的主机提供商,必须确保服务提供商有能力、工具和流程来及时地对DoS攻击做出响应。不管使用什么工具,服务提供商需要知道如何有效地使用该工具并且制定有效的流程。如果在DoS攻击后没有取消一些短期地将DoS攻击影响最小化步骤,可能在复杂性上造成消极的长期影响。
企业也应该在它和服务提供商的合同条款中包括DoS攻击响应服务内容,并且可能的话甚至增加应该包括在服务品质协议(service-level agreement,简称SLA)中的响应的详细内容。例如,确保SLA要求记载响应时间是明智的,因为对于企业的Web站点来说更短的宕机时间可能带来更快的响应时间。
当协商合同内容时,可能也要提前协商费用以及额外的使用报价。提前做这些事情以防在事故期间服务提供商因为额外的服务索要离谱的费用。以协商好的价格拥有SLA也能确保ISP或是主机提供服务商满足可用性要求,例如企业Web 站点99.9%的正常运作时间。
同样,在规划对DoS攻击做出响应时,企业的计算机安全事故响应团队(computer security incident response team,简称CSIRT)应该建立与业务部门、包括在业务运作方面主要决策者沟通的方法,以确保在事故期间告知重要的利益相关人并与其磋商。应该认定主要的决策者,并且赋予其在最坏情况下中断因特网连接、或是仅是中断部分因特网连接的权力。禁用因特网连接可能要求高层领导签署决策,但是断开单个网络连接可由CSIRT团队决定。同相关内部部门的沟通也应该开放,包括市场或是公众关系部门,以便这些部门能够就该DoS攻击事件和媒体交流。建立这些沟通渠道也能帮助认定主要决策者,例如搞清楚如果需要的话谁能授权购买新的DoS防范网络设备来将攻击的影响最小化。
DoS攻击响应准备:技术响应
对于包括DoS攻击在内的任何事故响应情况来说,准备工作对于快速地缓解该问题是关键的。准备工作取决于攻击类型,以及因特网主机位于何处。技术上的准备工作能够划分为网络和Web基础设施部分,包括辨识、响应和监控。辨别DoS攻击可能从简单的,如收到某个消费者无法使用Web站点的通知,到更为复杂的,例如收到来自带宽监控工具的通知,报告WAN连接使用率过高。
一旦被告知可能发生的事故,要调查被攻击的基础设施来判断最有效的响应措施。通过观察IDS、数据流、服务器日志、应用日志或是其它网络数据,并且查找高使用率模式来辨别被攻击的特定服务器或是应用。如果某个Web应用被攻击,响应措施可能是将该Web站点迁移到另外的主机服务提供商、服务器或是网络,或者是利用DoS防护工具来确保业务运作的持续性。这些服务器或服务甚至可以迁移到云服务提供商或是内容分发网络上。可以使用监控来判断是否攻击已经停止、发生变化或是需要额外的措施。监控手段可能仅是利用侦测工具并且创建当满足阈值条件时的告警,例如80%的连接利用率或是大量的UDP连接。你也可以联系攻击源头的ISP来要求他们阻断他们的顾客参与DDoS攻击或是阻断攻击来源。你可以自己来阻断攻击来源,但是阻断大量的攻击计算机可能是困难的。一旦DoS攻击减弱后,要么取消措施、或是将Web站点移回原来的主机上。要评估防护措施是否到位或者是应该保持长期的变更。
结论
DoS攻击可以使业务瘫痪,但是提前准备的话,对业务的干扰能够降至最低。DoS攻击的发展已经使得阻断它们和追溯所有的攻击来源更加困难,但是新的方法可以将其影响最小化。要阻止此类攻击不太可能,而有准备工作保障持续地运转业务是可能的。但是准备工作必须不仅包括公司内部的技术措施,还应该包括与外部服务提供商详尽的沟通和规划,由详细的SLA提供的支持会防止发生事故时预料外的耽搁和费用。