拒绝服务攻击响应需要更佳的业务连续性规划(二)

日期: 2012-04-23 作者:Nick Lewis翻译:杨帆 来源:TechTarget中国 英文

同样,在规划对DoS攻击做出响应时,企业的计算机安全事故响应团队(computer security incident response team,简称CSIRT)应该建立与业务部门、包括在业务运作方面主要决策者沟通的方法,以确保在事故期间告知重要的利益相关人并与其磋商。应该认定主要的决策者,并且赋予其在最坏情况下中断因特网连接、或是仅是中断部分因特网连接的权力。禁用因特网连接可能要求高层领导签署决策,但是断开单个网络连接可由CSIRT团队决定。同相关内部部门的沟通也应该开放,包括市场或是公众关系部门,以便这些部门能够就该DoS攻击事件和媒体交流。建立这些沟通渠道也能帮助认定主要决策者,例如搞清楚如果需要的话谁能授权购买新的DoS防范网络设备来将攻击的影响最小化。

  DoS攻击响应准备:技术响应

  对于包括DoS攻击在内的任何事故响应情况来说,准备工作对于快速地缓解该问题是关键的。准备工作取决于攻击类型,以及因特网主机位于何处。技术上的准备工作能够划分为网络和Web基础设施部分,包括辨识、响应和监控。辨别DoS攻击可能从简单的,如收到某个消费者无法使用Web站点的通知,到更为复杂的,例如收到来自带宽监控工具的通知,报告WAN连接使用率过高。

  一旦被告知可能发生的事故,要调查被攻击的基础设施来判断最有效的响应措施。通过观察IDS、数据流、服务器日志、应用日志或是其它网络数据,并且查找高使用率模式来辨别被攻击的特定服务器或是应用。如果某个Web应用被攻击,响应措施可能是将该Web站点迁移到另外的主机服务提供商、服务器或是网络,或者是利用DoS防护工具来确保业务运作的持续性。这些服务器或服务甚至可以迁移到云服务提供商或是内容分发网络上。可以使用监控来判断是否攻击已经停止、发生变化或是需要额外的措施。监控手段可能仅是利用侦测工具并且创建当满足阈值条件时的告警,例如80%的连接利用率或是大量的UDP连接。你也可以联系攻击源头的ISP来要求他们阻断他们的顾客参与DDoS攻击或是阻断攻击来源。你可以自己来阻断攻击来源,但是阻断大量的攻击计算机可能是困难的。一旦DoS攻击减弱后,要么取消措施、或是将Web站点移回原来的主机上。要评估防护措施是否到位或者是应该保持长期的变更。

  结论

  DoS攻击可以使业务瘫痪,但是提前准备的话,对业务的干扰能够降至最低。DoS攻击的发展已经使得阻断它们和追溯所有的攻击来源更加困难,但是新的方法可以将其影响最小化。要阻止此类攻击不太可能,而有准备工作保障持续地运转业务是可能的。但是准备工作必须不仅包括公司内部的技术措施,还应该包括与外部服务提供商详尽的沟通和规划,由详细的SLA提供的支持会防止发生事故时预料外的耽搁和费用。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。

相关推荐