介紹

分布式拒絕服務(wù) (DDoS) 攻擊的復雜性、規(guī)模和頻率都在不斷增加。其目標和攻擊方法的范圍（例如，從使用 PC 和筆記本電腦等傳統(tǒng)設(shè)備到使用聯(lián)網(wǎng)的物聯(lián)網(wǎng) (IoT) 設(shè)備）也在不斷擴大。企業(yè)如果希望減輕未來 DDoS 攻擊的影響，并降低內(nèi)部設(shè)備被納入僵尸網(wǎng)絡(luò)攻擊其他企業(yè)的可能性，就會發(fā)現(xiàn)目前尚無全面的指南。大型企業(yè)被迫投入大量財力和人力資源來識別、采購和部署適當?shù)木徑鈾C制。小型企業(yè)通常缺乏專業(yè)知識，或者無力將這些資源用于制定反 DDoS 策略。全面的解決方案非常復雜，通常需要結(jié)合本地管理和外部商業(yè)服務(wù)，因此將組織需求傳達給服務(wù)提供商和供應(yīng)商至關(guān)重要。

《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進框架》（簡稱“網(wǎng)絡(luò)安全框架”）由美國國家標準與技術(shù)研究院 (NIST) 制定，并廣泛聽取了私營部門的意見。該框架提供了一種基于風險的靈活網(wǎng)絡(luò)安全風險管理方法，并融合了行業(yè)標準和最佳實踐。網(wǎng)絡(luò)安全框架的設(shè)計旨在使各個組織能夠確定自身獨特的風險、容忍度、威脅和漏洞，從而優(yōu)先配置資源，最大限度地提高效率。

該框架廣泛適用于各種行業(yè)、組織、風險承受能力和監(jiān)管環(huán)境，并可通過使用配置文件進行補充。根據(jù)框架的定義，配置文件是指將框架組件應(yīng)用于特定行業(yè)、威脅或組織。配置文件可根據(jù)具體情況，通過應(yīng)用框架類別和子類別進行定制，以適應(yīng)特定的實施方案。配置文件的構(gòu)建應(yīng)考慮組織的a)業(yè)務(wù)/使命目標；b)監(jiān)管要求；以及c)運營環(huán)境。

組織可以使用配置文件，根據(jù)其業(yè)務(wù)目標定義網(wǎng)絡(luò)安全態(tài)勢的理想狀態(tài)，并以此衡量實現(xiàn)該狀態(tài)的進度。它使組織能夠分析特定目標所需的成本、工作量和風險。行業(yè)部門也可以使用配置文件來記錄針對特定威脅的最佳實踐。

DDoS 威脅緩解概要強調(diào)了如何利用網(wǎng)絡(luò)安全框架來提升組織機構(gòu)對 DDoS 攻擊的防御和響應(yīng)能力。本概要確定了對抗 DDoS 威脅最重要的網(wǎng)絡(luò)安全框架類別和子類別。為了進一步完善概要，新增了優(yōu)先級和框架注釋。類別和子類別均標有不同的優(yōu)先級，用于保護網(wǎng)絡(luò)和服務(wù)免受相關(guān)攻擊：

• P1 – 最高優(yōu)先級子類別
• P2 – 次要優(yōu)先級子類別
• P3 – 第三優(yōu)先級子類別

組織應(yīng)努力實施所有已確定的子類別，但當資源不允許這樣做時，實施 P1 子類別將提供堅實的基礎(chǔ)。

DDoS 威脅緩解配置文件是一個目標配置文件，專注于組織網(wǎng)絡(luò)安全的期望狀態(tài)，以緩解 DDoS 威脅。希望增強網(wǎng)絡(luò)抵御 DDoS 攻擊能力的企業(yè)可以從使用 DDoS 威脅緩解配置文件中獲益良多。

本概要旨在為企業(yè)提供指導，并建立與產(chǎn)品供應(yīng)商、互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 和其他基礎(chǔ)設(shè)施提供商就 DDoS 緩解機制進行討論的通用語言。本概要可用于幫助企業(yè)識別改進 DDoS 威脅緩解措施的機會，并通過將企業(yè)當前狀態(tài)與期望目標狀態(tài)進行比較來協(xié)助確定網(wǎng)絡(luò)安全優(yōu)先級。需要注意的是，本概要并未直接闡述組織應(yīng)如何防止其資產(chǎn)成為僵尸網(wǎng)絡(luò)的一部分，并可能成為針對其他組織的 DDoS 攻擊的一部分。為了做到這一點，需要創(chuàng)建一組子類別，這些子類別最好在單獨的概要中描述。

受眾

網(wǎng)絡(luò)安全風險管理是一項企業(yè)范圍內(nèi)的活動，因此本概要旨在供組織內(nèi)的多個部門使用。雖然信息技術(shù)和安全團隊可能最終負責在整個組織內(nèi)推薦、實施和維護技術(shù)安全控制措施，但風險遠不止于技術(shù)層面。因此，本概要的目標受眾是任何對 DDoS 攻擊負有責任或可能受其影響的個人或業(yè)務(wù)部門。這其中應(yīng)包括法律和監(jiān)管風險經(jīng)理。

信息技術(shù)和安全人員可以使用該配置文件來確定開發(fā)、實施和維護有效的 DDoS 緩解策略所需的技術(shù)和服務(wù)類型。

法律和監(jiān)管人員可以使用此配置文件將 DDoS 風險的內(nèi)部管理與外部要求相結(jié)合，并確保組織滿足這些要求。

合規(guī)團隊可以使用此配置文件來確定組織是否已實施正確的措施來防范 DDoS 攻擊。

DDoS威脅概述

DDoS 攻擊試圖利用來自多個來源的流量淹沒網(wǎng)絡(luò)、服務(wù)或應(yīng)用程序。DDoS 攻擊有多種方法，包括：

• 低帶寬面向連接的攻擊旨在啟動并保持受害者的多個連接打開，耗盡其可用資源。
• 高帶寬容量攻擊會耗盡可用的網(wǎng)絡(luò)或資源帶寬。
• 面向協(xié)議的攻擊利用 TCP 等有狀態(tài)網(wǎng)絡(luò)協(xié)議。
• 應(yīng)用層攻擊旨在破壞應(yīng)用程序或服務(wù)的某些方面。

雖然這些方法都可能非常有效，但近年來，由于幾起備受矚目的事件，容量耗盡攻擊引起了人們的極大關(guān)注。反射放大就是容量耗盡 DDoS 攻擊向量的一個突出示例。這種 DDoS 攻擊會偽造攻擊目標的 IP 地址，并從該地址向互聯(lián)網(wǎng)上的開放服務(wù)發(fā)起查詢以請求響應(yīng)。此方法中使用的服務(wù)通常會經(jīng)過精心選擇，使得對初始查詢的響應(yīng)大小是查詢本身的許多倍（x100s）。響應(yīng)會返回給偽造 IP 的真正所有者，因此有“反射”一詞。這種攻擊向量允許攻擊者生成海量攻擊流量，同時使目標難以確定這些流量的原始來源。反射放大是過去十年互聯(lián)網(wǎng)上一些最大規(guī)模 DDoS 攻擊的罪魁禍首。

DDoS 通常被稱為“武器化”威脅，因為發(fā)動攻擊不再需要技術(shù)技能。事實上，進行 DDoS 攻擊的服務(wù)已經(jīng)激增，并且成本相對較低，易于獲取。攻擊者可以通過多種方式增強其攻擊能力，例如使用惡意軟件感染聯(lián)網(wǎng)設(shè)備、在托管環(huán)境中部署服務(wù)器、利用程序缺陷或其他漏洞，以及利用聯(lián)網(wǎng)設(shè)備上訪問控制不足的情況創(chuàng)建僵尸網(wǎng)絡(luò)。美國仍然是 DDoS 攻擊最常見的目標，美國公共和私人基礎(chǔ)設(shè)施中受感染的主機最常被用作 DDoS 攻擊的源頭。可用性是信息安全的核心支柱，但評估和緩解基于可用性的威脅（例如 DDoS）的運營責任和紀律通常由網(wǎng)絡(luò)運營或應(yīng)用程序所有者以及風險和信息安全團隊承擔。由于這種責任的劃分，風險評估和應(yīng)對這些威脅的運營程序都可能出現(xiàn)分歧。本概要的目標是確保通過應(yīng)用網(wǎng)絡(luò)安全框架中概述的適當建議和最佳實踐，全面解決保護和應(yīng)對 DDoS 威脅所需的戰(zhàn)略和運營紀律。

如何使用資料

重要的是要認識到，該框架旨在以全面的方式實施。也就是說，它應(yīng)該被整合到整個組織的整體風險管理政策、程序和計劃中。這意味著風險所有者和管理人員必須決定哪些類別和子類別適用于整個企業(yè)，以及哪些適用于特定的業(yè)務(wù)部門。此外，由于某些子類別具有法律和監(jiān)管含義，因此在實施本概要的過程中必須咨詢法律顧問。最后，與所有安全計劃一樣，高層領(lǐng)導應(yīng)該了解正在開展的工作，并授權(quán)相關(guān)活動，授權(quán)方式可以是直接授權(quán)，也可以是通過常規(guī)政策或授權(quán)。

考慮一個在實踐中如何實現(xiàn)一個特定子類別的示例：

框架核心子類別 ID.AM-1 規(guī)定“組織內(nèi)的物理設(shè)備和系統(tǒng)已清點”。此子類別的相對重要性基于一個廣為接受的理念：你無法妥善保護你不了解的東西。這種挑戰(zhàn)通常體現(xiàn)在許多人所說的“影子 IT”上，即在未經(jīng)安全和運營團隊知情或批準的情況下連接到企業(yè)網(wǎng)絡(luò)的設(shè)備。因此，這些設(shè)備可能無法受到組織已實施的安全機制的妥善保護，從而帶來潛在風險。風險的性質(zhì)取決于設(shè)備的連接方式和位置。連接到保存所有員工數(shù)據(jù)的人力資源系統(tǒng)的未經(jīng)授權(quán)的設(shè)備可能比連接到已適當隔離的酒店大堂供客人使用的計算機的設(shè)備帶來更大的風險。然而，風險已經(jīng)存在，如果無法識別該設(shè)備，則可能無法采取適當?shù)木徑獯胧?/span>

從這個角度來看，ID.AM-1 對整個企業(yè)都至關(guān)重要，應(yīng)該得到切實的應(yīng)用。回到 DDoS 防御概要，ID.AM-1 的具體應(yīng)用場景則更為具體。

一般來說，DDoS 僅對面向互聯(lián)網(wǎng)的系統(tǒng)構(gòu)成威脅。這通常包括網(wǎng)站、應(yīng)用服務(wù)器和網(wǎng)關(guān)路由器。在這種情況下，ID.AM-1 專門針對這些類型的設(shè)備，而實施該配置文件意味著確保這些設(shè)備已完全清點，作為企業(yè)整體設(shè)備識別和清點工作的一部分。

同樣的模式也適用于本概要中提出的其他子類別。換句話說，本概要應(yīng)在更廣泛的企業(yè)風險管理背景下實施，而非作為一種獨立的方法。

該配置文件使組織能夠采用框架并專注于一個主要威脅，這有助于分配資源以及衡量和報告受到威脅的系統(tǒng)對 DDoS 的緩解程度。

從現(xiàn)在開始，組織如何使用配置文件將根據(jù)某些因素而有所不同，包括：

• 了解威脅及其對組織的潛在影響；
• 可用的財務(wù)、人力和知識資源；
• 網(wǎng)絡(luò)安全風險管理計劃和程序的成熟度；以及
• 組織將如何衡量結(jié)果。

首先，企業(yè)需要充分了解 DDoS 威脅對其意味著什么。評估真正的風險意味著要思考服務(wù)不可用將如何影響業(yè)務(wù)運營。當客戶無法訪問您的電商網(wǎng)站時，這可能意味著收入損失?；蛘?，這可能意味著關(guān)鍵業(yè)務(wù)合作伙伴無法連接到共享信息所必需的應(yīng)用程序接口。無論如何，如果不充分了解風險，就很難確定需要應(yīng)用哪些資源。

有了這樣的理解，接下來就必須結(jié)合現(xiàn)有資源來考量風險。不同組織的情況差異很大，對中小型企業(yè)的影響尤其大。這正是“優(yōu)先級”可以發(fā)揮作用的地方。首先，盡可能多地實施 P1 子類別，然后根據(jù)風險的演變逐步推進。

組織現(xiàn)有網(wǎng)絡(luò)安全政策、程序和方案的成熟度至關(guān)重要。如果尚未實施基本的網(wǎng)絡(luò)安全風險管理，或者只是臨時性的，那么有效且高效地實施針對 DDoS 攻擊的緩解措施將極具挑戰(zhàn)性。

最后，一旦DDoS緩解機制到位，重要的是確保組織流程得到實施，以便持續(xù)監(jiān)測和報告結(jié)果。這應(yīng)該包括：

• 嘗試進行 DDoS 攻擊的次數(shù)以及緩解措施的成功程度；以及
• 定期審查新的 DDoS 緩解技術(shù)和服務(wù)，以確保根據(jù)風險制定最有效的機制。

在本節(jié)及整篇文檔中提出的高級指南框架內(nèi)，每個組織最終都會找到適合自身情況的方法來使用本概要。這正是本概要的初衷，并且與網(wǎng)絡(luò)安全框架的整體使用完全一致。

參考文獻

在制定本簡介時考慮了以下參考信息：

• 聯(lián)邦金融機構(gòu)檢查委員會 (FFIEC) DDoS 聯(lián)合聲明
• FCC 通信安全、可靠性和互操作性委員會 (CSRIC) WG-5 基于服務(wù)器的 DDoS 攻擊補救措施– 2014 年 9 月
• NIST SP 800-44 版本 2– 公共 Web 服務(wù)器安全指南 - 2007 年 9 月
• NIST SP 800-53 修訂版 4 - 聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制 - 2013 年 4 月
• IETF BCP 38- 網(wǎng)絡(luò)入口過濾：防御利用 IP 源地址欺騙的拒絕服務(wù)攻擊 - 2000 年 5 月
• IETF BCP 84- 多宿主網(wǎng)絡(luò)入口過濾 – 2004 年 3 月
• IETF RFC 4732- 互聯(lián)網(wǎng)拒絕服務(wù)注意事項 – 2006 年 11 月
• IETF RFC 4778- 互聯(lián)網(wǎng)服務(wù)提供商環(huán)境中的當前運營安全實踐 - 2007 年 1 月
• IETF RFC 5635- 使用單播反向路徑轉(zhuǎn)發(fā) (uRPF) 進行遠程觸發(fā)黑洞過濾 - 2009 年 8 月