成功减轻DDoS***的基础包括:知道监视什么、全天候地监视这些征兆、有技术和能力来确认和减轻DDoS***,同时又允许合法的通信到达目的地,并拥有实时的正确解决问题的技能和经验。下面讨论的最佳方法就反映了这些原则。

 

最佳方法一:实现数据收集集中化,并理解其趋势

 

1、集中化监视

 

运用集中化监视功能,实现在一个位置就可以监视整个网络及通信模式;将通信的监管限制由一个小团队负责,以保持监管的连续性。

 

2、理解正常网络的通信模式

 

为建立进入企业的正常通信的基准,企业应当定期收集来自交换机、路由器及其它设备的样本数据包和其它有关信息。需要知道进入了哪些类型的通信(例如, SMTPHTTPHTTPS等)、何时进入(是每个星期三,还是每个月的第一天等)、从何处进入、进入了多少等。建立一个包含超过一年的正常通信模式的监视地图,并将此信息整合到一个用于威胁检测、警告和报告的相关引擎中。

 

3、跟踪全世界的DDoS历史趋势和威胁情报

 

对全球的***模式进行持续的跟踪和分析,快速验证潜在的***和新出现的***,并将吸取的教训纳入到适当的事件响应中。使用现有的情报查找预定义的反常问题(即分析签名)。使内部的情报收集与第三方情报供应商的情报相互补充,参与到业界的安全团体和论坛中,其中的信息共享有助于揭示异常活动。

 

4、实施专门的DDoS警告、日志、报告系统

 

确保所发出的警告能够告知安全管理员DDoS***的迹象,其中包括未必是基于***数量的***。实施一种日志和相关系统,收集可用于预防未来***的详细***数据。实施一种明确的过程,用于收集并评估事务、通信的总体状况、应用程序、协议、事件的报告。记住,事务报告与通信报告一样重要。例如,如果所预计的事务数量发生锐减,这比通信量的增加能更有力地表明可疑活动的存在。

 

5、与经验丰富的安全研究人员协同工作

 

如果企业并不知道怎样处理数据,即使最好的监视、检测、警告、日志和报告设备也是无用的。安全研究人员应当亲身实践,能够区分可疑通信与合法通信,并随着形势的变化而改变应对策略。

 

最佳方法二:定义一个明确的不断升级的发展路线

 

系统化的程序和方法对于有效减轻DDoS***是必不可少的。下面给出四大步骤:

 

1、定义一套标准的事件响应操作程序

 

在制定操作程序时,要考虑内部的基础架构、服务、应用程序以及可能受到影响的客户和合伙人资源。如果有必要,制定个别的标准化操作程序,以解决特定类型的***或受到***的特定资源。定期审查标准作业程序,并进行定期的“演习”,确保标准操作程序保持最新,并能正确发挥功能。

 

2、组建事件响应团队

 

不要等到发生***事件的凌晨才开始决定应当联系哪些人。应当准备、发布、经常更新逐步升级的联系人清单,其中包括用于内部团队、相关客户、厂商、合伙人、上游供应商(如应用程序服务供应商(ASP))的信息。如果你依赖一个互联网供应商(ISP)来减轻DDoS***,除非贵公司是一家大型公司,否则,你的服务请求有可能与其它公司的请求一起在排队等候。

 

3、解决不同职能部门的范围问题

 

由于DDoS***的防护与业务的连续***息相关,因而它是一个全局性的目标。要确认职能部门和职责重叠的具体领域。必须打破不同部门(如网络团队和信息安全团队)之间的壁垒,澄清事件响应的角色和职责,并强化责任。

 

4、为“宕机时间(因故障而造成的停机时间)”做好准备

 

要理解哪些系统对于企业是生死攸关的,并且为网络或服务的故障而制定和测试三个计划:短期、中期、长期的连续性计划。

 

最佳方法三:使用分层过滤

 

减轻DDoS***的目标,是用最小的延迟排除恶意的非法通信,仅允许合法的通信进入网络。实现此目标最有效方法是,使用一种可以利用前文所述的所有方法的多层过滤验证过程。

 

1、分层过滤通信

 

使用签名分析、动态分析(根据对正常行为的监视和分析)、反欺骗算法等技术来主动过滤网络上游的有害通信。

 

2、在OSI堆栈的多层上都应用过滤器

 

虽然通过在网络层上实施过滤器就可以减少某些***,但是当代的***更复杂和深入,我们需要在包括应用层的多层上都进行分析和过滤。

 

3、必要时可限制通信速率

 

为防止“低容忍”的资源发生瘫痪,根据带宽的并发连接数量,可在必要时运用限制通信速率的能力。

 

4、能够快速改变和定制过滤器

 

在必要时,能够快速应用和清除标准过滤器(即签名),也可以根据网络遭受的***变化来生成定制的过滤器。

 

5、随着时间的推移而强化规则集

 

分析境内外的多种情报、监视、警告和报告日志,然后使用这些信息来不断地更新规则集。

 

最佳方法四:构建可扩展性和灵活性

 

为确保在遭受***的条件下,系统能够正常发挥功能,企业必须拥有一个高扩展性的、灵活性的基础架构。

 

1、按需定制的能力

 

这种能力包括带宽以及硬件处理能力,以及需要处理通信负载的可扩展性。充足的能力至关重要,但要想在一个企业内部维持充足的能力却非常困难,并且常常是不现实的。例如,提供过度的带宽来吸收海量***需要花费大量的金钱去购买额外的带宽,甚至有可能还需要购买服务器。此外,在当今的环境中,过度配置带宽也往往是不够的,因为DDoS***的规模正以惊人的速度增长,而企业网络到互联网连接的速率一般是1Gbps及其以下。

 

2、找到临界点

 

要了解你的基础在遭受***的情况下是如何动作的。确定通信的特征,并确认哪些组件在面临沉重负载时会首先垮掉。例如,知道在哪个时点上防火墙或Web服务器会发生故障,知道哪些数据包或查询在某系统上所造成的后果比其它系统更严重。要在镜像生产环境中测试各种情况,而不仅仅是预报,并在改变了基础架构的任何部分后重新进行测试。

 

3、对基础架构建立负载平衡

 

一旦确认了临界点,下一步就应当对基础架构建立负载平衡,其目标是优化正常负载和峰值负载情况下的通信流。

 

4、考虑监视工具的可扩展性

 

必须保证在高负载的情况下,监视工具仍能继续工作。在有些消耗带宽的DDoS***中,监视往往名存实亡,甚至还会报告错误数据。例如,有些监视工具只能报告相同的值,因为它无法报告更高级的东西。

 

5、增强硬件和软件的多样性

 

并不是要构建多么复杂的IT环境,而是为了防御某些DDoS***针对特定厂商硬件和软件,因而不妨从多个厂商购买硬件和软件工具。

 

6、利用分布式模式

 

如果可能,利用一种分布式模式来为高价值的应用和服务构建和维持冗余性。