很多企業(yè)都曾思考或者經(jīng)歷過：當(dāng)其系統(tǒng)遭受針對性分布式拒絕服務(wù)攻擊會發(fā)生什么。多年來，我們看到很多看似靈活的企業(yè)由于分布式拒絕服務(wù)攻擊失去其核心網(wǎng)絡(luò)業(yè)務(wù)。

[[172973]]

特定系統(tǒng)網(wǎng)絡(luò)中斷是一回事;但是，你有沒有想過，如果你企業(yè)整個域名系統(tǒng)功能都失效會發(fā)生什么?域名系統(tǒng)(DNS)基本是互聯(lián)網(wǎng)(以及你的企業(yè))的循環(huán)系統(tǒng)，我們很難想象企業(yè)沒有它可以存活。

在最近的DDoS攻擊中，托管DNS提供商NS1及其客戶遭遇了這種情況。開始的批量密集攻擊很快變成直接的DNS查詢攻擊，這最終制造了持續(xù)的DNS問題。如果連DNS提供商都遭受攻擊，那么任何企業(yè)都可能遭受攻擊。

在很大程度上，處理DDoS攻擊的方法已經(jīng)演變成增加容量以在多個系統(tǒng)間有效分散負(fù)載，從而更好地減小影響。在NS1的博客文章中提供了各種DDoS緩解策略，其中最有效的策略包括如下：

DNS服務(wù)部署在兩個獨立網(wǎng)絡(luò)

與反分布式拒絕服務(wù)供應(yīng)商合作

通過系統(tǒng)監(jiān)控和警報，確保系統(tǒng)間最大可視性，最好是通過第三方托管安全服務(wù)提供商。

經(jīng)驗只有在某次很需要它的行動之后你才能獲得。對于拒絕服務(wù)相關(guān)事件響應(yīng)，更聰明的做法是提前想好最壞的情況，然后采取必要的措施以確保它不會發(fā)生。這種方法被稱為“最小最大”遺憾分析;你最小化最大的遺憾。

奇怪的是，仍然有很多企業(yè)(包括大型企業(yè))還沒有找到或解決相對基本的DDoS相關(guān)漏洞。在這些漏洞中，有些漏洞非常明顯，就像漏洞掃描和滲透測試檢測出的漏洞，例如DNS流量放大以及DNS遞歸查詢被啟用。這些漏洞存在于路由器、防火墻以及暴露于互聯(lián)網(wǎng)的服務(wù)器。下面是最大程度減小側(cè)重DNS的DDoS攻擊影響的方法：

找尋“唾手可得”的漏洞，例如上述DNS漏洞。

從網(wǎng)絡(luò)架構(gòu)的觀點來看，看看DNS服務(wù)在你的環(huán)境中如何運作，并確定具體的瓶頸點以及單點故障，包括云服務(wù)及業(yè)務(wù)合作伙伴連接。

與你的互聯(lián)網(wǎng)、托管、云計算和DNS服務(wù)提供商進(jìn)行討論，并詢問他們?yōu)闇p小這種風(fēng)險他們已經(jīng)部署了什么緩解策略。

根據(jù)你收集的信息，確定還需要做什么，例如增加額外的DNS提供商、使用反DDoS供應(yīng)商的服務(wù)等。

也許最重要的是，直接在事件響應(yīng)計劃或業(yè)務(wù)連續(xù)性計劃中記錄你對這些DDoS緩解策略和技術(shù)的標(biāo)準(zhǔn)，以及處理這些事件的程序。

執(zhí)行模擬桌面(或真實)演練以確定薄弱環(huán)節(jié)。解決你發(fā)現(xiàn)的漏洞，然后對部分信息安全計劃進(jìn)行拒絕服務(wù)和事件響應(yīng)測試。

對于最大限度減少安全風(fēng)險，最好的辦法還包括從他人的事件中吸取經(jīng)驗，例如NS1和其他遭受攻擊的DNS提供商。最后，確保你部署了適當(dāng)?shù)陌踩刂苼斫鉀Q此類事件。請記住，你的總體目標(biāo)不是完全消除這種風(fēng)險，而是盡量減少對你企業(yè)的影響