斩断DDoS魔掌的六把利剑（五）

　　在之前的系列文章基础上，本文介绍了减轻DDoS攻击的最后两种方法。

　　最佳方法五：解决应用程序和配置问题

　　如今的DDoS攻击摇身一变，从原来网络层的强力攻击演变成了更复杂、更难以检测的应用层攻击。攻击者能够知道个别应用程序通信活动的上限，并可以在网络通信激增过程中实施破坏。在总体网络环境中，增加通信并不是一个问题，但是如果目标应用程序对巨量通信的容忍度太低，攻击者就可以“拿下”应用程序。

　　1、理解你的应用程序

　　要知道每个应用程序能做什么，使用频率是多少，每个应用程序的请求看起来应当怎样，每个关键应用程序组件的正常业务的通信水平是怎样的，并决定一个应用程序被“淹没”的通信上限。如果有必要，为个别的应用程序定制通信流量。此外，要解决最简单的配置问题，这有助于将资源消耗型攻击，如SYN、PUSH、ACK洪水攻击等危害降到最低。

　　2、解决常用应用程序的漏洞

　　最易招惹DDoS攻击的三个应用程序漏洞是：不当的输入验证、缓冲区溢出、不正确的计算。这三个漏洞普遍存在于企业中，但修复这些漏洞的成本其实比较低。

　　3、成为一位好邻居

　　要确保非关键的应用程序和系统也不会遭到漏洞利用，从而不会被用于攻击其它网站。

　　最佳方法六：评估和选择供应商

　　在评估能够减轻DDoS攻击的托管服务供应商时，不妨考虑以下几个方面：

　　1、检测和减轻DDoS攻击的专业技术

　　考虑以下这些问题：该供应商是否拥有专业技术人员能够帮助客户制定对付DDoS攻击的长期战略?是否能够利用明确的系统化方法来组织并管理通信报告和应对DDoS攻击?DDoS的应对技术是其核心专业技术吗?

　　2、能力和可升级性

　　供应商能够吸收多大强度的攻击?在正常条件和在遭到攻击的条件下，你希望达到怎样的处理速度、内存速度、存储访问和延迟呢?

　　3、攻击管理

　　供应商能够管理攻击吗?它能够主动地检测攻击包吗?或者它要等到你的企业报告了“宕机”时间或其它征兆后才能检测?在遭受一次攻击期间，它能够阻止多少合法通信?会阻止多长时间?(请注意黑洞路由问题，许多第三方供应商使用此方法，它会阻止资源达到合法用户，因而满足了攻击者的目标。)

　　4、服务的透明性

　　该厂商是否可以让你透明地观察通信监视和减轻攻击的过程，以便于你理解在没有发生攻击和正在遭受攻击的情况下的通信特征呢?

　　5、过滤能力

　　在发生安全事件期间，供应商是否能够有效地过滤通信?如果能的话，它能够部署哪些功能?它能够为应用程序级、会话级和操作系统级的攻击提供过滤吗?能够部署多长时间?部署过滤器的服务等级约定是怎样的?

　　6、服务等级约定

　　在发生DDoS攻击后，托管服务供应商要用多长时间来通知你异常情况?你是否拥有专业的服务代表或者快速响应时间?你的服务请求是否需要排队等候?服务水平能否不断满足企业未来的融合和重组吗?

　　7、服务的可用性

　　在你的网络遭受攻击时，服务的可用性是98%还是99.99%?供应商在多个客户之间使用负载共享吗?供应商支持专用系统吗?

　　8、报告

　　在发生攻击事件后，供应商可能生成哪些报告?供应商能够保存与你企业有关的日志和报告多长时间?

　　9、联网安全

　　托管服务提供商是否有一套既定的安全基础设施来保护客户数据?它是否能够提供一个包括审计跟踪、数据加密(SSL)和口令保护的基于Web的安全入口?

　　10、物理安全

　　供应商是否为包含关键系统和机密数据的设施使用了军事级别的安全机制?它是否拥有冗余的系统用于电源、网络服务?它是否拥有冗余的数据存储?

　　11、易于使用

　　托管服务供应商是否提供定制的界面和报告工具呢?供应商是否提供一个Web入口(或网站)，从而可以对实时的网络通信和带宽利用提供警告和可见性，并能够检测异常情况?

　　至此，应对DDoS攻击的系列文章到此告一段落。文章主要从宏观策略上讨论了应对DDoS的最佳方案，但每一种方法和策略都不是孤立的，必须与其它的措施相结合，才能发挥其最大效益。