【国际视野】美国网络安全和基础设施安全局与联邦调查局发布《理解与应对分布式拒绝服务攻击》指南

1. DoS 攻击：DoS攻击是指使用单一来源向目标系统发出大量流量或耗费资源的请求。恶意行为者通常使用一台计算机或少量计算机发动攻击。DoS攻击的目的是使目标系统无法向其目标用户提供服务，并阻止他们访问资源或服务。

2. DDoS 攻击：DDoS攻击涉及多个来源。通常情况下，众多被入侵的计算机（称为僵尸网络）会协同发动攻击。僵尸网络中的每台机器同时向目标系统发送大量流量或请求，以扩大后续影响。由于DDoS 攻击的分布式性质，与DoS 攻击相比，防御目标网络的难度有所增加。

1.风险评估：进行全面、主动的风险评估，以确定贵组织对 DDoS攻击的脆弱性。风险评估可以确定网络基础设施、系统和应用程序中的潜在漏洞。此类评估还将帮助贵组织了解DDoS攻击的潜在影响，并帮助确定优先次序和实施适当的安全措施。

2.网络监控：实施强大的网络监控工具和入侵检测系统(IDS)，以识别任何异常或可疑的流量模式。这可以提高企业检测和应对DDoS 攻击的能力。

3.流量分析：定期分析网络流量，建立正常流量模式的基线。这有助于您在攻击期间识别任何重大偏差。

4.实施验证码：将验证码挑战集成到网站或在线服务中，以帮助区分人类用户和自动机器人，这有助于防止DDoS攻击。由于访问网站或与网站进行交互时需要人工互动，验证码可作为防范DDoS 攻击的屏障。

5.事件响应计划：制定全面的事件响应计划，概述发生 DDoS攻击时应采取的步骤。该计划应包括角色和职责、沟通渠道以及预定义的缓解策略。

6. DDoS 缓解服务：考虑使用 DDoS缓解服务提供商的服务。他们拥有处理大规模攻击的专业知识和专业基础设施，可以帮助在恶意流量到达网络之前将其过滤掉。

7.带宽容量规划：评估您当前的带宽容量，并考虑增加带宽容量以处理攻击期间突然激增的流量。这有助于最大限度地减少对合法用户的影响。

8.负载平衡：实施负载平衡解决方案，在多个服务器或数据中心之间分配流量。这有助于分散负载，防止攻击期间出现单点故障。

9. 防火墙配置：配置防火墙以过滤可疑流量模式和/或阻止来自已知恶意IP地址的流量。不断更新防火墙规则，并考虑实施速率限制，以防止流量过大。

10.修补和更新系统：定期更新和修补所有软件、操作系统和网络设备，以解决已知漏洞。存在漏洞的系统可被利用来扩大DDoS 攻击的影响。

11.网络应用程序安全：实施安全编码实践，定期对网络应用程序进行安全评估。易受攻击的应用程序可能成为攻击目标，在攻击过程中耗尽服务器资源。

12.冗余和故障转移：实施冗余网络基础设施并确保故障切换机制到位。这将有助于在攻击期间通过快速将流量重定向到替代资源来维持服务可用性。

13.员工意识和培训：教育员工了解 DDoS攻击、其影响以及如何识别和报告可疑活动。这将有助于最大限度地降低成为社交工程攻击受害者的风险，社交工程攻击可帮助发起DDoS 攻击。

14.沟通计划：制定一项沟通计划，以便在攻击期间随时向利益相关者通报情况。这包括内部团队、客户和第三方服务提供商。清晰的沟通有助于管理预期并协调响应工作。

15.备份和恢复：定期备份关键数据，确保拥有经过测试和更新的灾难恢复计划。这将帮助您在遭受攻击后迅速恢复，并最大限度地减少潜在的数据丢失。

1. 网站或服务不可用：DDoS 攻击最常见的症状是网站或在线服务不可用。如果网站突然无法访问或运行速度明显减慢，这可能是 DDoS 攻击的迹象。

2. 网络拥塞：如果网络流量或拥塞突然增加，则可能表明发生了 DDoS 攻击。网络监控工具或带宽使用报告可帮助识别异常的流量高峰。

3. 异常流量模式：在网络日志或监控系统中查找异常流量模式。这可能包括来自特定 IP 地址的请求大幅增加，或针对特定资源或 URL 的大量流量。

4. 服务器或应用程序崩溃：DDoS 攻击会使服务器或应用程序不堪重负，导致崩溃或无响应。如果网络在没有明显原因的情况下频繁出现服务器或应用程序故障，这可能是攻击的迹象。

5. 资源利用率高：监控服务器和网络资源利用率指标，如 CPU 使用率、内存消耗量或带宽使用量。资源消耗的突然和持续增加可能表明存在 DDoS 攻击。

6. 无法访问其他网络服务：网站或服务可能不是 DDoS 攻击的唯一目标，其他关键网络基础设施组件（如 DNS 服务器或防火墙）也可能面临风险。如果在访问这些服务时遇到困难，则可能是受到攻击的迹象。

7. 用户行为异常：监控用户在网站或服务上的行为。如果来自单一 IP 地址的请求数量大幅增加或出现异常模式，则可能是 DDoS 攻击的迹象。

8. 大量垃圾邮件或恶意电子邮件：DDoS 攻击可能与其他类型的攻击（如垃圾邮件活动）同时发起。如果源于组织网络的垃圾邮件或恶意电子邮件突然激增，这可能是协同 DDoS 攻击的一部分。

9. 来自 DDoS 保护服务的通知：如果您使用了 DDoS 保护服务，他们可能会在检测到您的网络正在遭受攻击时主动向您发出警报。

10. 通信中断：DDoS 攻击可针对通信渠道，如网络电话 (VoIP) 服务或信息平台。如果网络通信服务出现中断或质量下降，这可能是攻击的迹象。

1.识别攻击：识别 DDoS攻击的迹象，如流量突然激增、网络延迟增加或服务不可用。使用网络监控工具和流量分析来确认攻击。

2.启动事件响应计划：立即执行组织记录在案并经批准的事件响应计划。该计划应概述关键人员的角色和职责、沟通渠道以及在DDoS 攻击期间应采取的步骤。

3.通知服务提供商：联系互联网服务提供商 (ISP)或托管服务提供商，向其通报攻击情况。他们可能已经采取了缓解措施，或能够改变流量路线以帮助减轻影响。

4.收集证据：尽可能多地记录和收集有关攻击的信息，包括时间戳、IP地址、数据包捕获以及网络基础设施生成的任何日志或警报。这些证据有助于向执法机构报告事件或进行未来分析。

5. 实施流量过滤：配置网络基础设施、防火墙或入侵防御系统，以过滤恶意流量。使用速率限制或访问控制列表阻止来自可疑IP 地址或DDoS 攻击中常用的特定协议的流量。

6. 启用DDoS 缓解服务：如果可用，请激活由 ISP或专门从事DDoS 保护的第三方供应商提供的DDoS缓解服务。这些服务可帮助过滤和分流恶意流量，让合法流量进入网络。

7. 扩大带宽和资源：如果贵组织有能力，请考虑扩大网络带宽和资源，以吸收攻击流量。这可能需要添加额外的服务器或临时增加网络容量。

8. 启用内容分发网络(CDN)：利用 CDN服务在多个服务器和数据中心之间分发内容。CDN可以通过吸收和分配流量来帮助缓解DDoS 攻击，最大限度地减少对基础设施的影响。

9. 对内对外沟通：与主要利益相关者（包括员工、客户、合作伙伴和供应商）保持清晰和定期的沟通。提供最新情况、为减轻攻击所采取的措施以及预期的解决时间表。

10. 从攻击中吸取教训：情况解决后，进行彻底的事件后分析，以了解攻击载体、暴露的漏洞和吸取的教训。相应地更新事件响应计划和安全措施，以防止未来的攻击。

11. 使用《MS-ISAC DDoS 攻击指南》中概述的缓解措施。即时缓解措施包括：

1.评估影响：评估 DDoS攻击对系统、网络和服务的影响。确定任何中断、数据丢失或系统受损的区域。该评估将帮助您了解损害程度，并确定恢复工作的优先顺序。

2.恢复服务：将受影响的服务和系统恢复正常运行。根据攻击的性质和所涉及的系统，这可能需要重新启动服务器、重新配置网络设备或从备份中恢复数据。与IT团队密切合作，确保恢复过程顺利。

3.进行事故后分析：对攻击进行彻底分析，以了解其特征、被利用的漏洞和使用的攻击载体。该分析将帮助您找出基础设施或安全措施中的任何薄弱环节，并指导今后的改进工作。

4.实施补救措施：根据事件发生后的分析，实施补救措施以解决任何已识别的漏洞或薄弱环节。这可能涉及修补系统、更新安全配置或加强网络防御。

5.审查安全控制：评估现有的安全控制，如防火墙、入侵检测系统和DDoS缓解服务。确保它们配置正确，并及时更新最新威胁情报。进行任何必要的调整，以加强对未来攻击的防御。

6.更新事件响应计划：更新事件响应计划，纳入从 DDoS攻击中吸取的经验教训。根据获得的经验，修订角色和职责、沟通渠道以及缓解策略。这将有助于更有效地应对未来的事件。

7.教育员工：为员工提供培训和提高认识计划，让他们了解 DDoS攻击、其影响以及如何识别和报告可疑活动。提高员工的意识有助于防止社交工程攻击并改善整体网络安全卫生状况。

8.加强网络监控：加强网络监控能力，以有效检测和应对未来的 DDoS攻击。实施实时流量分析、入侵检测系统和异常检测机制，及时发现并缓解攻击。

9.与执法部门合作：如果 DDoS攻击非常严重或涉及犯罪活动，请考虑与执法机构合作。向他们提供任何可用证据，并配合他们的调查，以便将肇事者绳之以法。

10.与利益相关者沟通：与利益相关者（包括客户、合作伙伴和供应商）保持公开透明的沟通。向他们通报攻击情况、为缓解攻击而采取的行动以及对服务或数据的任何潜在影响。清晰的沟通有助于管理预期和维护信任。

11.备份和灾难恢复：审查备份和灾难恢复流程，确保其功能强大且与时俱进。定期备份关键数据并测试恢复流程，以验证其有效性。这将有助于在未来发生攻击时快速恢复。

12.持续改进：DDoS攻击不断演变，因此必须持续改进安全态势。了解最新的威胁情报，遵循行业最佳实践，定期评估和加强安全控制。