DDoS 攻擊比以往任何時候都更大、更兇猛，可以隨時攻擊任何人。根據Verizon 最新的 DDoS 趨勢報告，與去年相比，2018 年上半年的攻擊峰值規模增長了 111%。賽門鐵克賽門鐵克安全響應中心的威脅研究員 Candid Wueest 說：“攻擊者掌握了越來越多的機器，他們可能會濫用這些機器進行 DDoS 攻擊。”

即使最近國際僵尸網絡運營商備受矚目，但在其他僵尸網絡接管之前的幾個月內，活動可能會略有減少。“在賽門鐵克，我們與執法部門合作并幫助他們取締僵尸網絡，”他說。“不幸的是，利用新的物聯網——路由器、閉路電視攝像機和所有這些設備，擺脫所有這些設備并不真正可行。大多數人甚至不知道他們的物聯網設備是否被用于攻擊。”

2 月份，GitHub 遭受了每秒 1.35 TB 的攻擊，這是有史以來最大的一次攻擊。十分鐘內，其 DDoS 緩解供應商 Akamai Prolexic 就開始工作。八分鐘后，攻擊者放棄了。該記錄在下個月被打破，Netscout Arbor 報告了針對一家美國公司的1.7 Tbps 攻擊，但由于部署了緩解防御措施，因此沒有報告中斷。Wueest 說，此類攻擊規模太大，任何公司都無法獨自應對。

據Verizon 稱，攻擊變得越來越復雜，現在有 52% 的攻擊采用了多種攻擊媒介。“他們可能從一種攻擊方法開始，然后當你緩解它時，切換到另一種，”Wueest 說。“他們可以多次這樣做，因為他們可以使用很多不同的攻擊方法。”

一旦有人想出新的攻擊方法，犯罪分子就會立即尋找將其貨幣化的方法，或者將其包含在他們的僵尸網絡工具包中。“DDoS 市場的運作方式與我們看到的其他犯罪市場類似，”Sophos Ltd. 的首席研究科學家 Chet Wisniewski 說，“沒有什么壞主意是沒有回報的。”

考慮到這一點，我們收集了一些必要的建議，以防止DDoS 攻擊。

1. 準備好 DDoS 緩解計劃

組織必須嘗試預測應用程序和網絡服務對手將針對的應用程序和網絡服務，并起草應急響應計劃以減輕這些攻擊。“企業更加關注這些攻擊并計劃他們將如何響應。而且他們越來越擅長收集自己的內部攻擊信息以及他們的供應商為幫助對抗這些攻擊而提供的信息，”Chip Tsantes 說，安永會計師事務所信息安全咨詢服務負責人。

IBM 金融部門安全策略師 Lynn Price 對此表示贊同。“組織在響應方面變得越來越好。他們正在整合他們的內部應用程序和網絡團隊，他們知道什么時候需要升級攻擊響應，這樣他們就不會措手不及。所以隨著攻擊者變得越來越老練，所以是金融機構，”她說。

“如果確實發生了影響業務的 DDoS 攻擊，包括良好的公共消息傳遞，還應該制定災難恢復計劃和經過測試的程序。數據中心服務提供商Cyxtera 的首席網絡安全官 Chris Day 表示，基礎設施在類型和地域方面的多樣性也有助于緩解 DDoS 以及與公共和私有云的適當混合。

“任何大型企業都應該從具有多個 WAN 入口點的網絡級保護開始，并與大型流量清理提供商（例如 Akamai 或 F5）達成協議，以在攻擊到達您的邊緣之前減輕和重新路由攻擊。沒有任何物理 DDoS 設備可以跟上 WAN 速度攻擊，因此必須首先在云中清理它們。BeyondTrust 的技術研究員 Scott Carlson 說：“確保您的運營人員制定了適當的程序，可以輕松地重新路由流量以進行清理，并對飽和的網絡設備進行故障轉移。”

2. 實時調整

雖然企業需要能夠實時調整以應對DDoS 攻擊一直是事實，但當 2012 年和 2013 年金融服務和銀行業遭受一波攻擊浪潮時，這種情況變得越來越多，其中包括 Bank of美國、第一資本、大通銀行、花旗銀行、PNC 銀行和富國銀行。這些攻擊既無情又復雜。Arbor Networks 美洲解決方案架構師 Gary Sockrider 說：“這些攻擊不僅是多向攻擊，而且策略會實時改變。”?攻擊者會觀察網站如何響應，當網站重新上線時，黑客會調整新的攻擊方法。

“他們很堅決，他們會在一些不同的端口、協議或新來源上攻擊你。總是改變策略，”他說。“企業必須準備好像他們的對手一樣快速和靈活。”

3. 使用 DDoS 保護和緩解服務

CynergisTek 網絡安全戰略副總裁 John Nye 解釋說，企業可以自己做很多事情來準備在這些攻擊發生時進行調整，但使用第三方 DDoS 保護服務可能是最實惠的途徑。“監控可以在企業內部完成，通常在 SOC 或 NOC 中進行，以觀察過多的流量，如果它與合法流量有足夠的區別，則可以在 Web 應用程序防火墻 (WAF) 或其他技術解決方案中阻止它。雖然可以構建更強大的基礎設施來處理更大的流量負載，但這種解決方案比使用第三方服務的成本要高得多，”Nye 說。

Cyxtera's Day 同意 Nye 的觀點，即企業應該考慮獲得專業幫助。“企業應該與 DDoS 緩解公司和/或其網絡服務提供商合作，以具備緩解能力或至少準備好在發生攻擊時快速部署。”

Nye 補充道：“如果企業的 Web 存在對其業務至關重要，那么企業可以做的最有用的第一件事就是使用第三方 DDoS 保護服務。在這種情況下，我不會推薦任何特定的供應商，因為最好的選擇是視情況而定，如果企業正在考慮使用這樣的服務，他們應該徹底調查這些選項。”

今年，供應商提供的保護水平顯著提高——今年創紀錄的攻擊可用的保護就是例證。緩解供應商也越來越多地相互合作，與互聯網服務提供商和執法部門合作，在問題到達目標受害者或沿途堵塞互聯網管道之前很久就解決上游的問題。

一家DDoS 緩解提供商 Cloudflare 已將其存在點——他們在上游、ISP 和其他關鍵位置安裝的設備——從去年此時的 118 個擴展到今天的 156 個。該公司總法律顧問 Doug Kramer 表示，同期，該公司保護的網站數量從 700 萬個增加到 1200 萬個。

Cloudflare 最近因拒絕取消對一些新納粹網站的保護而成為新聞，但它對將 DDoS 攻擊者踢出其網絡并沒有這種疑慮。“我們與許多其他團隊合作，例如 AWS、Akamai、Google 和 Palo Alto Networks 的人員，”Kramer 說。“盡管我們可能是商業領域的競爭對手，但我們共同努力追蹤這些東西并將其關閉。”

然而，由于網站宣傳危險內容，這是一個審查問題，他說。“我們的方法是避免成為審查員，所以我們將遵循法庭程序。如果我們得到法庭裁決，我們將停止服務或法庭要求的任何事情。但如果我們發現具有網絡攻擊性質的活動，我們會采取一種不同的方法。如果我們網絡上有人發起DDoS 攻擊，我們將盡快采取行動禁用服務。”

4. 不要只依賴外圍防御

將修復系統盡可能地推向上游是成功應對DDoS 攻擊的主要因素。幾年前，在報道金融服務公司遭受的 DDoS 攻擊時，我們采訪的每個人都發現，他們傳統的本地安全設備——防火墻、入侵防御系統、負載平衡器——無法阻止這些攻擊。

“我們看到這些設備出現故障。那里的教訓非常簡單：你必須有能力在 DDoS 攻擊到達這些設備之前緩解它。它們很容易受到攻擊。它們和你試圖攻擊的服務器一樣容易受到攻擊保護，”Sockrider 在談到幾年前對銀行和金融服務的攻擊時說。部分緩解工作將不得不依賴上游網絡提供商或托管安全服務提供商，這些提供商可以在遠離網絡邊界的地方中斷攻擊。

當您面臨大量攻擊時，減輕上游的攻擊尤為重要。“如果你的互聯網連接是 10GB 并且你收到了 100GB 的攻擊，那么試圖在 10GB 大關上與之抗爭是沒有希望的。你已經被上游屠殺了，”Sockrider 說。

今年兩起創紀錄的襲擊事件確實強調了這一點。Rapid7 的首席數據科學家 Bob Rudis 說，在那里，攻擊者向易受攻擊的 memcached 服務器發送欺騙請求，這些服務器用于加速網站和網絡。“Memcached 之于拒絕服務攻擊，就像氫彈之于傳統戰爭一樣，”他說。

他說，這些攻擊并沒有停止。根據最新的Rapid7 威脅報告，memcached 的每日連接數在 3 月份飆升至 10,000 左右，然后在 6 月份飆升至 50,000 以上，并在 9 月份飆升至 200,000 以上。“Memcached 攻擊者還活著，并且繼續為新系統盤點——互聯網上仍然有很多新系統，”他說。

5. 在線對抗應用層攻擊

對特定應用程序的攻擊通常是隱蔽的、數量少得多且更有針對性。“它們的設計目的是在雷達下飛行，因此您需要在本地或數據中心進行保護，以便您可以執行深度數據包檢查并查看應用層的所有內容。這是緩解此類問題的最佳方法攻擊，”Sockrider 說。

Signal Sciences 戰略、營銷和合作伙伴關系副總裁 Tyler Shields 補充說：“組織將需要一種可以處理應用層 DoS 攻擊的 Web 保護工具。”?“具體地說，那些允許您對其進行配置以滿足您的業務邏輯的。基于網絡的緩解措施已不再足夠，”他說。

Amir Jerbi 是容器安全公司 Aqua Security 的聯合創始人兼首席技術官，他解釋了您可以采取的防止 DDoS 攻擊的步驟之一是通過將應用程序部署到多個公共云提供商來為應用程序添加冗余。“這將確保如果您的應用程序或基礎設施提供商受到攻擊，那么您可以輕松擴展到下一個云部署，”他說。

6. 合作

在這些攻擊方面，銀行業正在進行一些合作。他們透露的一切都受到精心保護并嚴格共享，但在有限的范圍內，銀行在協作方面比大多數行業做得更好。“他們相互合作，并與他們的電信供應商合作。他們直接與他們的服務供應商合作。他們必須這樣做。他們不能孤立地工作并取得成功，”IBM 的 Price 說。

例如，當金融服務行業成為攻擊目標時，他們轉向金融服務信息共享和分析中心尋求支持并共享有關威脅的信息。“在其中一些信息共享會議中，[大]銀行在談論正在進行的攻擊類型以及他們實施的證明有效的解決方案時非常開放。這樣，大銀行至少有Akamai Technologies 金融服務首席策略師 Rich Bolstridge 說。無論行業如何，金融部門的戰略都可以而且應該在其他地方采用。

7. 注意二次攻擊

盡管DDoS 攻擊的成本可能很高，但它們有時可能只是分散注意力，為更邪惡的攻擊提供掩護。“對于來自另一個方向的更嚴重的攻擊，DDoS 可能是一種轉移策略。銀行需要意識到，他們不僅要監控和防御 DDoS 攻擊，而且還必須關注這樣一種觀念： DDoS 可能只是多方面攻擊的一個方面，可能是為了竊取帳戶或其他敏感信息，”Price 說。

8. 保持警惕

盡管很多時候DDoS 攻擊似乎只針對知名行業和公司，但研究表明這并不準確。隨著當今互聯的數字供應鏈（每個企業都依賴數十個甚至數百個在線供應商），通過攻擊表達的在線激進主義增加，國家支持對其他國家的行業進行攻擊，以及可以輕松發起 DDoS 攻擊，每個組織必須將自己視為目標。

因此，準備好并使用本文中的建議作為啟動點來構建您的組織自己的反DDoS 策略。