面對DDoS攻擊，企業(yè)又能如何？

除了QCF，不少黑客團體也在摩拳擦掌策動DDoS攻擊，其目標往往是金融服務機構，集中攻擊其網(wǎng)站表格與內容。此外，更有些DDoS攻擊變成“進階”的多向量版本，把DDoS與賬戶竄改及詐騙手法結合，帶來更大的殺傷力。

以上例子表明，在過去的一年半，DDoS黑客活動的頻率與手法不斷提高，近期的個案顯示不同規(guī)模的銀行正面臨不同形式的DDoS攻擊，這包括傳統(tǒng)SYN 攻擊、DNS泛洪攻擊、DNS放大攻擊，以及針對應用層和內容的攻擊。而針對SSL加密網(wǎng)頁資源和內容的拒絕服務（DoS）攻擊更是變本加厲。在一些情況下，黑客會采用一種混合形式的攻擊，用難以阻止的應用層方法，結合“低成本”、大批量，但可用簡單的手段進行過濾及阻擋的攻擊。

為了應對此等級別的惡意活動，首席信息官、首席信息安全官，以及他們的團隊需要部署一個全盤抗擊方案，采用一套全面的防御工具，結合公司內部署的安全技術和基于云端的清洗服務。此外，他們也需考慮執(zhí)行情報收集和發(fā)布工作，支持一套全面的DoS緩解策略。

這里，我們針對上述企業(yè)類用戶在制訂抗擊DDoS 策略時應考慮的問題，進行了匯總，希望對大家有所幫助。

采用數(shù)據(jù)清洗服務或類似的清洗供應商來應對大批量耗盡攻擊

達到80 Gbps的DDoS攻擊已經(jīng)不稀奇，個別案例甚至高達300 Gbps。只有極少的組織機構可以有帶寬來應付這種規(guī)模的攻擊。當面對如此大規(guī)模的DDoS攻擊，企業(yè)應首先考慮通過基于云的清洗供應商來管理其網(wǎng)絡流量，協(xié)助除掉數(shù)據(jù)流中的惡意數(shù)據(jù)包。此等供應商擁有所需的工具及足夠的帶寬，所以可以作為抗擊大批量耗盡攻擊的第一道防線，使DDoS攻擊止步于云端，而常規(guī)業(yè)務數(shù)據(jù)流則能順利通過網(wǎng)絡。

使用專門的DDoS攻擊防御設備，對攻擊進行識別、隔離與修復

有鑒于DDoS攻擊日趨復雜，同時結合大批量和應用的攻擊，企業(yè)需要采用一個綜合多種抗擊手法的方針。要有效抵御結合應用及“低而慢”攻擊的多向量攻擊，必需充分利用在公司部署的專用防御設備，防火墻和入侵防御系統(tǒng)在緩解DDoS攻擊方面至關重要，DDoS安全防御設備構建一個額外的保護層，通過專用技術對DoS活動進行實時鑒別并阻截。管理員還可以通過設置此等公司內部安全方案，與云清洗服務供應商溝通，在遭受攻擊時可自動地把攻擊路由出去。

企業(yè)需要調整防火墻以處理大量的連接率

在遭受DDoS攻擊時，防火墻將是關鍵的網(wǎng)絡設備。管理員應該調整其防火墻設置，以識別和處理大批量耗盡和應用層攻擊。此外，視乎防火墻的性能，有些保護功能可激活以阻止DDoS攻擊數(shù)據(jù)包，在攻擊過程中提高防火墻的性能。

制定一套保護應用的方法及策略，抵御DDoS攻擊

安全技術可以有效抵御DDoS攻擊，但是管理員也需要考慮調整Web服務器，修改自身負載均衡及內容分發(fā)策略，確保系統(tǒng)取得最佳的正常運作時間。此外，也可以考慮配置抵御多種登陸的攻擊。另外一個防御機器策動、自動進行攻擊的方法是在網(wǎng)頁中增設服務細節(jié)選擇，例如頁面詢問瀏覽者是否有興趣取得低息率或新產(chǎn)品信息，用戶需按下“接受”或者“不用，謝謝”按鍵后，方可繼續(xù)進入后續(xù)頁面。

此外，內容分析十分重要，這可以簡便地確保沒有大量PDF文件堵塞價值重大的主機服務器。

以上都是有些執(zhí)行DDoS緩解策略的重要手段。企業(yè)必須與服務提供商及互聯(lián)網(wǎng)服務提供商（ISPs）攜手合作。ISP必須參與并支持此等抗擊策略，因為DDoS攻擊與銀行等金融機構使用相同的網(wǎng)絡，而ISP則支持這兩種數(shù)據(jù)流。

情報收集和分發(fā)對抵御DDoS的重要性也日益增加，這需要調查公司內部網(wǎng)絡的數(shù)據(jù)，以及在金融服務業(yè)其它公司的網(wǎng)絡中的數(shù)據(jù)。

了解黑客身份、其攻擊動機和手法等信息可以幫助管理人員準確預測并防范攻擊。分辨DDoS攻擊可以是根據(jù)協(xié)議（SYN、DNS、HTTP）、攻擊數(shù)據(jù)包的來源，策動和控制攻擊的網(wǎng)絡、攻擊在一天內的啟動和結束時間等。目前，此等信息共享只限于業(yè)界友好間，正確的發(fā)展方向是構建自動化系統(tǒng)，不同機構可以登錄一個方案，通過研究有關聯(lián)的原始日志信息，掌握進行中或已結束攻擊的蛛絲馬跡，此等系統(tǒng)也可以用作分享攻擊情報及分發(fā)相關保護。