分布式拒絕服務(wù) (DDoS) 攻擊是一種網(wǎng)絡(luò)攻擊，其中惡意行為者用大量數(shù)據(jù)淹沒目標(biāo)系統(tǒng)或網(wǎng)絡(luò)，從而壓倒預(yù)期目標(biāo)，使合法用戶無法使用。

當(dāng)遭受DDoS攻擊時(shí)，系統(tǒng)會(huì)陷入癱瘓，并且經(jīng)常完全沒有響應(yīng)。防御者必須迅速采取行動(dòng)阻止攻擊，這可能需要外部援助，甚至?xí)簳r(shí)關(guān)閉資源；使用日志、警報(bào)和其他資源確定DDoS攻擊的類型；最后，通過更改安全架構(gòu)并投資工具來防止未來的攻擊，從而從攻擊中恢復(fù)過來。

第一階段：遏制

一旦遭受DDoS 攻擊，資源運(yùn)行就會(huì)變得遲緩，甚至保護(hù)資源的更改也難以執(zhí)行。雖然如果不識(shí)別攻擊就無法完全阻止攻擊，但如果系統(tǒng)因惡意流量泛濫而無法訪問，則無法識(shí)別攻擊。

必須停止攻擊（即使是暫時(shí)的），以恢復(fù)內(nèi)部資源，例如 CPU 容量和內(nèi)存。將日志發(fā)送到其他資源（獨(dú)立存儲(chǔ)、SIEM 解決方案等）的組織可能能夠同時(shí)阻止攻擊并確定 DDoS 攻擊的類型。

初始DDoS響應(yīng)策略

簡單的 DDoS 攻擊通?？梢酝ㄟ^熟練的內(nèi)部資源進(jìn)行阻止。但是，請記住，即使是基本的 DDoS 攻擊也可能需要借助主機(jī)互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 的幫助在上游進(jìn)行阻止，否則被阻止的 DDoS 攻擊流量仍可能威脅連接帶寬和 ISP 基礎(chǔ)設(shè)施。

您可以選擇的初始 DDoS 響應(yīng)選項(xiàng)包括致電您的服務(wù)提供商（如互聯(lián)網(wǎng)和網(wǎng)絡(luò)托管）、聯(lián)系網(wǎng)絡(luò)安全專家、更改您的網(wǎng)絡(luò)以阻止攻擊并加強(qiáng) DDoS 防護(hù)、關(guān)閉您的服務(wù)以在重新上線之前進(jìn)行更改，和/或?qū)嵤┬录夹g(shù)以獲得更好的保護(hù)。

聯(lián)系服務(wù)提供商

在某些情況下，只需聯(lián)系互聯(lián)網(wǎng)或網(wǎng)絡(luò)托管提供商并通知他們有關(guān)情況，就可以阻止 DDoS 攻擊。他們可能已經(jīng)知道并正在努力阻止流量。服務(wù)提供商可以確認(rèn)攻擊的存在并實(shí)施一些更改以阻止惡意流量進(jìn)入網(wǎng)絡(luò)。其中一些包括：

• 增加帶寬：增加帶寬可以幫助您抵御 DDoS 攻擊或完全緩解攻擊，但可能不具成本效益。
• 更改 IP 地址/范圍：更改您的 IP 地址和 DNS 信息可以暫時(shí)阻止攻擊，直到攻擊者瞄準(zhǔn)新的 IP 地址。此外，需要更改多個(gè)內(nèi)部系統(tǒng)以反映新的 IP 地址。

雖然聯(lián)系服務(wù)提供商很有幫助，但這可能還不夠。典型的互聯(lián)網(wǎng)機(jī)器人 DDoS 攻擊規(guī)?？蛇_(dá)100 到 500 Gbps，一些更大規(guī)模的攻擊每秒可達(dá)到1 億次以上請求。如果沒有專業(yè)幫助，即使是最大的企業(yè)也難以阻止這種規(guī)模的攻擊。

聘請網(wǎng)絡(luò)安全專家

利用熟練的專業(yè)人員和高端工具和服務(wù)的組合是防御 DDoS 攻擊以及保護(hù)自己免受未來攻擊的最有效方法之一。這些方法包括：

• 網(wǎng)絡(luò)安全專家：應(yīng)聯(lián)系安全顧問、托管檢測和響應(yīng)(MDR) 專家和其他專業(yè)人員，以幫助阻止攻擊、改進(jìn)針對未來攻擊的系統(tǒng)，并推薦其他事件響應(yīng)工具和服務(wù)。
• 云服務(wù)：基于云的DDoS 防護(hù)服務(wù)通常提供阻止 DDoS 攻擊的最全面的選項(xiàng)，因此組織通常會(huì)將其部分或全部基礎(chǔ)設(shè)施遷移到 AWS、Microsoft Azure 或 Google Cloud 等云提供商。

請務(wù)必更新您的訪問控制列表，以允許服務(wù)與受保護(hù)系統(tǒng)之間的連接并阻止其他連接，這樣就不會(huì)有任何東西繞過 DDoS 服務(wù)。但是，也請記住，即使是云提供商也無法阻止源自組織網(wǎng)絡(luò)內(nèi)的 DDoS 攻擊。

雖然擁有專業(yè)工具和服務(wù)值得投資，但它仍然是一項(xiàng)昂貴的投資，超過任何內(nèi)部解決方案，可能不是公司愿意承擔(dān)的費(fèi)用。此外，在您受到攻擊時(shí)尋找合格的專業(yè)人員可能會(huì)很困難且壓力很大。

此外，安全專家通常會(huì)記錄僵尸網(wǎng)絡(luò)和攻擊媒介，以便他們能夠迅速采取行動(dòng)，甚至在攻擊發(fā)起之前就阻止攻擊。

過濾目標(biāo)IP地址和位置

查看日志文件通常會(huì)揭示有關(guān)您的網(wǎng)絡(luò)的寶貴信息，包括產(chǎn)生大部分 DDoS 流量的 IP 地址和位置。然后，您可以使用這些信息在您的網(wǎng)絡(luò)上啟用快速且廉價(jià)的防御措施。一些選項(xiàng)包括：

• IP 過濾： IP 過濾將允許您阻止特定的 IP 地址。
• 地理封鎖：地理封鎖允許您阻止來自某個(gè)地理位置的連接。

這些可以為團(tuán)隊(duì)提供急需的時(shí)間來開發(fā)和部署其他策略，但很少是永久性的解決方案，因?yàn)楣粽呖梢云垓_他們的 IP 地址或利用未封鎖地區(qū)的僵尸網(wǎng)絡(luò)，導(dǎo)致安全打地鼠游戲，防御者不斷試圖跟上攻擊者。

此外，來自被阻斷區(qū)域的任何合法流量都將無法訪問您的資源，這可能會(huì)導(dǎo)致該地區(qū)的財(cái)務(wù)損失和聲譽(yù)受損。最后，通常建議在 ISP 級(jí)別也應(yīng)用這些過濾器，以避免被阻斷的流量所消耗。

啟用或加強(qiáng)DDoS保護(hù)選項(xiàng)

組織應(yīng)檢查其現(xiàn)有資源（服務(wù)器軟件、路由器固件等），以查找可能尚未激活的 DDoS 保護(hù)選項(xiàng)。檢查您的網(wǎng)絡(luò)設(shè)備是否有以下安全選項(xiàng)：

• 路由器上的 DDoS 保護(hù)：啟用此功能可通過監(jiān)控進(jìn)入網(wǎng)絡(luò)的流量數(shù)據(jù)包數(shù)量來幫助保護(hù)您的網(wǎng)絡(luò)免受 DDoS 攻擊。
• 速率限制：速率限制是一種安全功能，它限制了特定時(shí)間范圍內(nèi)可以發(fā)出的請求數(shù)量。

由于這些功能已內(nèi)置于多個(gè)網(wǎng)絡(luò)設(shè)備中，因此在攻擊發(fā)生之前在網(wǎng)絡(luò)上設(shè)置和運(yùn)行這些功能應(yīng)該相對容易且成本低廉。它們在攻擊期間可能無效，您可能直到攻擊之后才能部署這些功能。

關(guān)閉服務(wù)

有時(shí)，關(guān)閉受到攻擊的系統(tǒng)是最佳選擇。在恢復(fù)在線狀態(tài)之前，可以隔離服務(wù)或資源并加強(qiáng)其防御能力，防止進(jìn)一步受到攻擊。以下是一些示例：

• 停止特定請求：如果您注意到自己正受到特定網(wǎng)絡(luò)請求（即 SYN 洪泛）的轟炸，則可以對傳入的連接請求進(jìn)行速率限制。
• 阻止下載：如果特定服務(wù)試圖下載非常大的文件，則防御措施可能是暫時(shí)禁用下載而不影響網(wǎng)站的其余部分。

這是一種快速、廉價(jià)且有效的阻止 DDoS 攻擊的方法。但停機(jī)時(shí)間也可能對組織造成破壞和成本高昂。尤其是在系統(tǒng)完全關(guān)閉的情況下。

實(shí)施新技術(shù)

此步驟需要最深入的規(guī)劃和配置，理想情況下應(yīng)盡早實(shí)施，而不是在攻擊發(fā)生后實(shí)施，因?yàn)樵诠舭l(fā)生后，決策可能會(huì)倉促做出，考慮事項(xiàng)可能會(huì)被忽視。需要考慮的一些工具包括：

• 防火墻：防火墻是一種監(jiān)控網(wǎng)絡(luò)流量并實(shí)施安全策略以阻止可疑網(wǎng)絡(luò)活動(dòng)或惡意攻擊的工具。
• 安全網(wǎng)關(guān)：此工具類似于防火墻，但主要用于阻止可疑的網(wǎng)絡(luò)流量。
• DDoS 防護(hù)設(shè)備： DDoS 防護(hù)設(shè)備是一種專用于分析網(wǎng)絡(luò)流量以檢測和阻止 DDoS 攻擊的設(shè)備。

這些工具的缺點(diǎn)是部署起來成本高昂且耗時(shí)，并且需要大量資源進(jìn)行維護(hù)。此外，它們無法防御外部攻擊，并且可能無法快速擴(kuò)展以防御更大規(guī)模的攻擊。

任何受到攻擊的組織都應(yīng)探索所有選擇，并根據(jù)其當(dāng)前情況實(shí)施他們認(rèn)為最有可能成功的措施。

非技術(shù)性DDoS響應(yīng)

即使事件響應(yīng)團(tuán)隊(duì)可能正在努力應(yīng)對 DDoS 攻擊，組織仍必須與其他利益相關(guān)者打交道。攻擊發(fā)生后，請遵循以下非技術(shù)響應(yīng)：

• 通知高管和利益相關(guān)者：需要根據(jù)組織的事件響應(yīng)計(jì)劃通知所有高管和利益相關(guān)者并不斷更新。
• 建立內(nèi)部溝通：告知員工可用的內(nèi)部資源或完成其職責(zé)的替代方法。
• 協(xié)調(diào)公共關(guān)系：根據(jù)事件響應(yīng)計(jì)劃聯(lián)系客戶了解系統(tǒng)狀態(tài)。
• 聯(lián)系您的保險(xiǎn)提供商：必須通知網(wǎng)絡(luò)安全保險(xiǎn)公司、監(jiān)管機(jī)構(gòu)（證券交易委員會(huì)等）和執(zhí)法部門。

管理層應(yīng)將非技術(shù)援助納入事件響應(yīng)團(tuán)隊(duì)，以協(xié)調(diào)、管理和執(zhí)行與利益相關(guān)者的書面、口頭和電話溝通。高管甚至可能希望在團(tuán)隊(duì)中嵌入某人，該人有權(quán)批準(zhǔn)費(fèi)用或協(xié)調(diào)從 DDoS 攻擊中恢復(fù)所需的快速采購授權(quán)。

內(nèi)部攻擊與外部攻擊

上述初始 DDoS 技術(shù)適用于所有攻擊。但是，根據(jù) DDoS 攻擊的類型和受影響的架構(gòu)，某些技術(shù)會(huì)比其他技術(shù)更有用。您需要了解保護(hù)內(nèi)部網(wǎng)絡(luò)和外部資源（如視頻游戲系統(tǒng)）免受 DDoS 攻擊之間的區(qū)別。

阻止內(nèi)部和外部路由器、服務(wù)器和網(wǎng)站DDoS攻擊

暴露在互聯(lián)網(wǎng)上的實(shí)用程序、應(yīng)用程序和網(wǎng)站資產(chǎn)通常會(huì)成為 DDoS 攻擊者的目標(biāo)，因?yàn)樗鼈冏钊菀资艿接绊?。托管或支持這些資源的服務(wù)器通常會(huì)遭受 CPU、內(nèi)存和帶寬過載。

這些攻擊與針對服務(wù)器和路由器的內(nèi)部 DDoS 攻擊截然不同，后者針對的是內(nèi)部網(wǎng)絡(luò)協(xié)議和資源。不過，一旦攻擊開始，保護(hù)這些不同資源的步驟將非常相似。

1. 阻止初始攻擊

檢查日志文件并開始阻止與攻擊（內(nèi)部或外部）相關(guān)的 IP 地址，使用地理圍欄來阻止特定區(qū)域，或者對于內(nèi)部攻擊，甚至關(guān)閉產(chǎn)生流量的受損本地設(shè)備。

然而，有些情況不允許DDoS攻擊者關(guān)閉設(shè)備。例如，如果攻擊者將醫(yī)院的呼吸機(jī)變成僵尸網(wǎng)絡(luò)，醫(yī)院就無法簡單地關(guān)閉呼吸機(jī)，否則會(huì)嚴(yán)重影響患者的健康。

此外，許多攻擊者一旦意識(shí)到攻擊已被阻止，就會(huì)改變策略和攻擊源。盡管阻止可能只是暫時(shí)有效，但它有助于爭取時(shí)間實(shí)施更有效的保護(hù)措施。

2. 避開攻擊

如果阻止無效，請嘗試更改服務(wù)器 IP 地址、路由器 IP 地址或網(wǎng)站 URL，以將服務(wù)器移出 DDoS 攻擊路徑。與阻止攻擊一樣，這可能只是暫時(shí)的緩解，但它可以為實(shí)施需要更多時(shí)間才能執(zhí)行的其他策略贏得時(shí)間。

3.停止服務(wù)

如果阻止或避開攻擊不起作用，組織可能需要停止受到攻擊的服務(wù)（例如 PDF 下載、購物車、內(nèi)部路由器等）。

部分或全部停止網(wǎng)站、應(yīng)用程序或內(nèi)部網(wǎng)絡(luò)將造成嚴(yán)重破壞，因此不應(yīng)輕視這一步驟。只有在步驟 1 和 2 無法提供足夠的時(shí)間來執(zhí)行下面的其他步驟時(shí)，才應(yīng)執(zhí)行此步驟。

4. 啟用額外保護(hù)

當(dāng)部分事件響應(yīng)團(tuán)隊(duì)試圖阻止現(xiàn)有攻擊時(shí)，其他成員應(yīng)致力于通過以下方式啟用針對 DDoS 攻擊的其他保護(hù)措施：

• 致電 ISP： ISP 可以幫助為受到攻擊的網(wǎng)站、應(yīng)用程序和公開暴露的設(shè)備（防火墻、服務(wù)器、路由器等）設(shè)置外部 DDoS 防護(hù)服務(wù)。
• 評(píng)估防火墻保護(hù)：安裝WAF 服務(wù)或調(diào)整當(dāng)前的 WAF 設(shè)置和策略可以增強(qiáng)您的網(wǎng)絡(luò)防御以阻止攻擊，或者您可以通過下一代防火墻 (NGFW) 重新路由您的內(nèi)部流量。
• 調(diào)整速率限制：在網(wǎng)絡(luò)設(shè)備上配置速率限制可以改變現(xiàn)有防火墻、服務(wù)器和其他相關(guān)資源的請求閾值，以限制進(jìn)入網(wǎng)絡(luò)的流量。
• 添加工具：添加或升級(jí)網(wǎng)絡(luò)和網(wǎng)站的保護(hù)、網(wǎng)絡(luò)安全產(chǎn)品、網(wǎng)絡(luò)入侵檢測系統(tǒng) (IDS) 和入侵防御系統(tǒng) (IPS)以及FWaaS等云防火墻解決方案可以保護(hù)您免受未來的攻擊。 
• 獲取幫助：聘請事件響應(yīng)或托管 IT 安全服務(wù)(MSSP) 供應(yīng)商可以幫助定位并刪除驅(qū)動(dòng) DDoS 攻擊的惡意軟件。

但請注意，額外的保護(hù)措施可能會(huì)影響現(xiàn)有的架構(gòu)或性能。例如，負(fù)載均衡器可能會(huì)被 DDoS 工具繞過，或者 DDoS 保護(hù)設(shè)備的數(shù)據(jù)包檢查可能會(huì)導(dǎo)致流量延遲。

還請記住，取證或安全調(diào)查將成為恢復(fù)過程的一部分，特別是對于可能引發(fā)網(wǎng)絡(luò)安全保險(xiǎn)索賠的任何攻擊。需要找到并刪除攻擊者引入的初始感染、接入點(diǎn)、惡意軟件和系統(tǒng)更改，以防止未來的 DDoS 攻擊或其他類型的攻擊（勒索軟件、數(shù)據(jù)盜竊等）。

阻止外部路由器或視頻游戲系統(tǒng)DDoS攻擊

小型企業(yè)、游戲服務(wù)器和主播通常將路由器直接連接到互聯(lián)網(wǎng)，攻擊者可以找到他們的 IP 地址來攻擊他們。由于沒有 IT 專業(yè)人員支持環(huán)境，對這些暴露系統(tǒng)的攻擊可能會(huì)導(dǎo)致互聯(lián)網(wǎng)訪問完全中斷。阻止這些攻擊的一些方法是更改您的 IP 地址、在您的設(shè)備中啟用防御功能以及添加額外的安全層。

1.重置IP地址

避免 DDoS 攻擊的最快方法是重置 IP 地址。有幾種方法可以實(shí)現(xiàn)此目的：

• 最快捷的方法 — 拔掉電源：拔掉路由器、游戲系統(tǒng)，有時(shí)還要拔掉調(diào)制解調(diào)器。路由器 IP 地址重置最短只需 5 分鐘即可分配新 IP 地址，最長則需要 24 小時(shí)，具體取決于 ISP。
• 最佳方法——聯(lián)系 ISP：聯(lián)系互聯(lián)網(wǎng)服務(wù)提供商 (ISP)；一些 ISP 限制 IP 地址的更改，需要直接聯(lián)系，但 ISP 也可以實(shí)施額外的安全措施或提供額外的服務(wù)來阻止 DDoS 攻擊。
• 管理控制臺(tái) IP 重置：通過 Web 瀏覽器以管理員身份登錄路由器控制臺(tái)并更改 IP 地址；請查看路由器手冊以獲取說明。
• 命令提示符 IP 地址重置：使用命令行提示符（如 ipconfig（Windows、MacOS）或 ip（Linux））釋放和更新 IP 地址；MacOS 用戶還可以使用高級(jí)系統(tǒng)偏好設(shè)置來選擇 TCP/IP 和“更新 DHCP 租約”。

當(dāng)然，這種技術(shù)會(huì)導(dǎo)致互聯(lián)網(wǎng)或網(wǎng)絡(luò)不可用，直到路由器重新啟動(dòng)，攻擊者仍然可以搜索新的IP地址來攻擊路由器。

2. 激活 DDoS 防御選項(xiàng)

您還可以探索所用裝備的防御選項(xiàng)。一些防御選項(xiàng)包括：

• 路由器保護(hù)：檢查路由器管理控制臺(tái)和手冊，了解可以啟用或加強(qiáng)的其他 DDoS 保護(hù)選項(xiàng)。這些可以快速激活，但可能會(huì)影響性能。
• 升級(jí)設(shè)備：較舊的路由器或消費(fèi)級(jí)路由器可能缺乏防御現(xiàn)代 DDoS 攻擊和其他常見網(wǎng)絡(luò)威脅的功能?？紤]升級(jí)到具有更多安全功能或容量的設(shè)備。
• 啟用隱私模式：某些游戲機(jī)在菜單中提供隱私和在線安全選項(xiàng)，可用于最大限度地減少公開信息。例如，Xbox 具有“私人模式”功能，可在“更多選項(xiàng)”>“Xbox 設(shè)置”>“隱私和在線安全”下找到。

3. 添加保護(hù)層

為了阻止未來針對路由器的攻擊，請考慮添加額外的保護(hù)層：

• 添加設(shè)備：在路由器和互聯(lián)網(wǎng)之間添加網(wǎng)絡(luò)保護(hù)設(shè)備，如防火墻、安全網(wǎng)關(guān)和 DDoS 保護(hù)。
• 升級(jí)或添加專業(yè)級(jí)設(shè)備：考慮購買提供更多安全性的新型路由器和下一代防火墻。
• 基于云的保護(hù)：添加來自 Cloudflare 或 Sucuri 等供應(yīng)商的云解決方案，例如 FWaaS 或 DDoS 保護(hù)服務(wù)。
• VPN 網(wǎng)絡(luò)服務(wù)：使用虛擬專用網(wǎng)絡(luò) (VPN)來隱藏 IP 地址；但是，由于額外的網(wǎng)絡(luò)跳數(shù)，它會(huì)增加 ping。游戲玩家和流媒體可以尋找具有低延遲連接和安全 IP 地址的 VPN 服務(wù)。

最佳選擇取決于組織或個(gè)人的預(yù)算和技術(shù)能力以及解決方案需要多快實(shí)施。

第二階段：分析

有些攻擊會(huì)變得明顯，因?yàn)橐磺卸紩?huì)停止，但通常會(huì)有一段時(shí)間，資源在應(yīng)對 DDoS 攻擊的早期階段時(shí)會(huì)“表現(xiàn)得很奇怪”。無論哪種情況，除非識(shí)別出攻擊，否則無法完全阻止攻擊，查看日志以確定 DDoS 攻擊的類型，并可能追蹤攻擊的來源。

識(shí)別 DDoS 攻擊的跡象

DDoS 攻擊的最初跡象是延遲。應(yīng)用程序運(yùn)行緩慢、網(wǎng)站加載緩慢、服務(wù)器響應(yīng)請求緩慢等。

受到攻擊的互聯(lián)網(wǎng)連接的用戶可能會(huì)發(fā)現(xiàn)自己無法與互聯(lián)網(wǎng)連接，或無法使用本地資源。網(wǎng)絡(luò)運(yùn)營中心、防火墻監(jiān)控工具、云使用工具和其他監(jiān)控解決方案可能會(huì)捕捉到網(wǎng)絡(luò)或互聯(lián)網(wǎng)流量的峰值。

在攻擊進(jìn)行到一定階段時(shí)，資源將變得不可用 — 甚至無法運(yùn)行診斷工具或訪問日志文件和其他報(bào)告。團(tuán)隊(duì)?wèi)?yīng)盡快做出響應(yīng)，或確保資源優(yōu)先發(fā)送日志以供分析。

檢查并分析日志、警報(bào)和記錄

理想情況下，第一個(gè)故障指標(biāo)將以日志和警報(bào)的形式出現(xiàn)，這些警報(bào)來自監(jiān)控工具和軟件，用于檢查帶寬、應(yīng)用程序性能、內(nèi)存或 CPU 問題。警報(bào)可以幫助響應(yīng)團(tuán)隊(duì)立即采取行動(dòng)，并在 DDoS 攻擊耗盡資源之前阻止它。

提示：記錄所有內(nèi)容。這些來自 DDoS 攻擊的記錄為多個(gè)團(tuán)隊(duì)和利益相關(guān)者提供了寶貴的信息，其中包括：

• 事件響應(yīng)團(tuán)隊(duì)：數(shù)字取證和事件響應(yīng)團(tuán)隊(duì)將使用日志來幫助他們分析攻擊，以便更好地了解發(fā)生了什么以及如何防止未來的攻擊。
• 網(wǎng)絡(luò)安全保險(xiǎn)：大多數(shù)網(wǎng)絡(luò)安全保險(xiǎn)公司在審查索賠以計(jì)算損失時(shí)都會(huì)要求提供報(bào)告的日志副本。

如果沒有警報(bào)，組織可能不得不依賴客戶或內(nèi)部投訴，而這些投訴可能會(huì)因資源擁塞（應(yīng)用程序、服務(wù)器等）而延遲，或者直到整個(gè)網(wǎng)絡(luò)因 DDoS 攻擊而癱瘓。

攻擊特征

攻擊特征分析有助于區(qū)分攻擊流量與合法流量，并確定攻擊類型。例如，使用協(xié)議禁用基礎(chǔ)設(shè)施的攻擊與針對應(yīng)用程序中特定功能的應(yīng)用程序級(jí)攻擊需要不同的響應(yīng)。

由于 DDoS 攻擊類型眾多，因此很難確定具體是哪一種攻擊。不過，響應(yīng)團(tuán)隊(duì)會(huì)分析日志，查找有關(guān)攻擊和潛在防御措施的信息。

DDoS 攻擊可能需要進(jìn)行數(shù)字取證調(diào)查，以確定惡意軟件如何進(jìn)入網(wǎng)絡(luò)并發(fā)起 DDoS。調(diào)查人員將收集證據(jù)并確保攻擊者和惡意軟件已從網(wǎng)絡(luò)中清除。

攻擊追溯

DDoS 攻擊追溯旨在識(shí)別 DDoS 攻擊的來源。例如，如果攻擊可以追溯到一系列 IP 地址，則可以通過 IP 阻止來阻止攻擊。但是，追蹤可能極具挑戰(zhàn)性，并且可能無法找到實(shí)際的攻擊者。

第三階段：恢復(fù)

能夠快速消除 DDoS 攻擊的組織可能只會(huì)遭受不便。不那么幸運(yùn)的組織將需要評(píng)估損失，根據(jù) DDoS 補(bǔ)救措施做出必要的調(diào)整，確定采取哪些緊急措施來防止 DDoS 攻擊再次發(fā)生，并考慮其他預(yù)防措施。

DDoS攻擊損害

DDoS 攻擊造成的損失因組織而異，取決于受影響的資源。然而，Corero最近的一項(xiàng)調(diào)查估計(jì)，DDoS 攻擊每小時(shí)可使組織損失數(shù)十萬美元，大型組織可損失高達(dá) 100 萬美元，平均每分鐘略高于 6,000 美元。然而，這些報(bào)告均未考慮其他成本或業(yè)務(wù)和聲譽(yù)損失。

遭受 DDoS 攻擊后，組織需要記錄其保險(xiǎn)成本和損失，并制定預(yù)算，用于購買工具和服務(wù)以防止未來的 DDoS 攻擊。

DDoS 補(bǔ)救措施調(diào)整

為了阻止攻擊，組織可能會(huì)對架構(gòu)或軟件進(jìn)行更改，而這無意中會(huì)導(dǎo)致其他問題?；謴?fù)過程的一部分需要檢查基礎(chǔ)設(shè)施以檢測和修復(fù)那些損壞的組件或鏈接。例如，將網(wǎng)站移至 DDoS 過濾服務(wù)提供商之后可能只會(huì)移動(dòng)主域。子域可能需要手動(dòng)遷移。

同樣，與其他第三方工具的集成可能需要額外的配置。例如，發(fā)布網(wǎng)站可能會(huì)發(fā)現(xiàn)他們的 Web 內(nèi)容管理系統(tǒng)不再正確連接到受 DDoS 提供商保護(hù)的發(fā)布內(nèi)容，并且可能需要進(jìn)行更改才能重新連接到它。

對于在網(wǎng)絡(luò)內(nèi)發(fā)起的 DDoS 攻擊，可能需要對單個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行清理，以消除惡意軟件或攻擊者訪問設(shè)備進(jìn)行未來攻擊的能力。有時(shí)這還可能觸發(fā)數(shù)據(jù)和系統(tǒng)恢復(fù)需求。

DDoS 攻擊經(jīng)驗(yàn)教訓(xùn)

生成一份經(jīng)驗(yàn)教訓(xùn)報(bào)告，解釋所發(fā)生的一切，并清楚地說明如何防范類似的攻擊。應(yīng)立即實(shí)施緩解措施，但如果不切實(shí)際，則應(yīng)盡快規(guī)劃緩解措施并提出預(yù)算建議。

補(bǔ)救 DDoS 攻擊的成本以及停機(jī)造成的任何業(yè)務(wù)損失將提供一個(gè)粗略目標(biāo)，以便與緩解預(yù)算進(jìn)行比較。

如果攻擊規(guī)模或影響巨大，請向執(zhí)法機(jī)構(gòu)或CERT 等行業(yè)組織報(bào)告事件。報(bào)告攻擊可以建立主要攻擊者的檔案，并有助于摧毀911 S5和Raptor Train等主要僵尸網(wǎng)絡(luò)。

了解三個(gè)階段

事件響應(yīng)團(tuán)隊(duì)經(jīng)常會(huì)同時(shí)執(zhí)行這些階段。此外，當(dāng)攻擊者觀察防御者的行為時(shí)，他們通常會(huì)改變策略，并要求防御團(tuán)隊(duì)在這些階段及其內(nèi)部步驟之間進(jìn)行迭代。

當(dāng)然，每個(gè)階段的具體內(nèi)容都將高度定制，并取決于許多因素，首先是 DDoS 攻擊的類型、 受到攻擊的資源（路由器、網(wǎng)站、應(yīng)用程序、服務(wù)器等）以及已經(jīng)實(shí)施的DDoS 保護(hù)或緩解措施。

此外，IT 架構(gòu)、防御者的資源以及攻擊者的奉獻(xiàn)精神也將在如何進(jìn)行各個(gè)階段和技術(shù)方面發(fā)揮重要作用。

幸運(yùn)的是，ISP 和供應(yīng)商可以為有需要的人提供專業(yè)的DDoS 防護(hù)服務(wù)。但是，他們執(zhí)行的幾項(xiàng)任務(wù)與我們介紹的類似，不同之處在于他們可能擁有更多的經(jīng)驗(yàn)和更復(fù)雜的工具。

OSI 模型和 DDoS 攻擊

網(wǎng)絡(luò)上的所有通信都以網(wǎng)絡(luò)數(shù)據(jù)包的形式發(fā)送。當(dāng)每臺(tái)計(jì)算機(jī)或防火墻收到數(shù)據(jù)包時(shí)，設(shè)備將檢查內(nèi)容并根據(jù)標(biāo)頭中的說明處理數(shù)據(jù)包。DDoS 攻擊會(huì)濫用這些數(shù)據(jù)包并試圖利用潛在的弱點(diǎn)來使系統(tǒng)過載。OSI 模型的不同層可用于確定DDoS 攻擊的類型：

然而，知道哪一層受到攻擊對于阻止或阻止攻擊幾乎沒有幫助。從本質(zhì)上講，所有攻擊通常分為兩類： 

• 基礎(chǔ)設(shè)施層攻擊（第 3、4 層）：這些 DDoS 攻擊會(huì)通過大容量或畸形數(shù)據(jù)包攻擊影響防火墻、服務(wù)器和路由器。如果這些攻擊來自外部，ISP 和托管合作伙伴通?？梢詭椭鷳?yīng)對這些攻擊。
• 應(yīng)用層攻擊（第 6、7 層）：這些攻擊通過超載信息請求來針對網(wǎng)站和應(yīng)用程序。它們可以通過Web 應(yīng)用程序防火墻阻止，但可能需要添加驗(yàn)證碼等附加功能來阻止自動(dòng)請求。

在執(zhí)行阻止 DDoS 攻擊的三個(gè)關(guān)鍵階段后，組織將發(fā)現(xiàn)自己處于更有利的位置。但是，僅靠恢復(fù)無法阻止未來的 DDoS 攻擊，因?yàn)樗鼈冎荒芙鉀Q最后的攻擊。阻止 DDoS 攻擊的最佳方法始終是組織采取主動(dòng)并在受到攻擊之前采取防御措施。

預(yù)防未來 DDoS 攻擊的 5 個(gè)步驟

IT 和安全團(tuán)隊(duì)可以部署多種方案來應(yīng)對 DDoS 攻擊，這將有助于控制和管理攻擊發(fā)生時(shí)的未來影響。其中包括：

1. 加強(qiáng)防御攻擊：更新、修補(bǔ)和更改設(shè)置以保護(hù)資源免受攻擊。
2. 部署反 DDoS 架構(gòu)：配置資源并實(shí)施策略，保護(hù)資源免受潛在攻擊并最大限度地減少成功攻擊的影響。
3. 使用反 DDoS 工具：啟用功能并添加工具來檢測和防范或減輕 DDoS 攻擊的影響。
4. 設(shè)計(jì) DDoS 響應(yīng)手冊：制定安全、運(yùn)營和管理團(tuán)隊(duì)如何應(yīng)對 DDoS 攻擊的計(jì)劃。
5. 安裝 DDoS 監(jiān)控：安裝監(jiān)控來監(jiān)視并提醒工作人員注意攻擊的跡象。

底線：現(xiàn)在做好準(zhǔn)備，否則以后會(huì)遭殃

隨著攻擊者的技術(shù)和能力不斷提高，防御者必須保持警惕。阻止 DDoS 攻擊不僅會(huì)變得更加困難，而且攻擊者還會(huì)繼續(xù)加快利用機(jī)會(huì)窗口的速度。組織現(xiàn)在應(yīng)該為未來的 DDoS 攻擊做好準(zhǔn)備，并利用可用的強(qiáng)大工具和服務(wù)來幫助他們。