由于分布式拒绝服务(DDoS)攻击的广泛性和危害性，现在几乎所有企业都已经认识到并开始部署强大的防御措施来监测和缓解 DDoS 攻击。但是，并不是有了这些防御措施就可以高枕无忧。应对 DDoS 攻击，企业还需要认真制定事件响应方案和流程，否则在防御上的所有投入很容易化为乌有。

曾有一家国际性网络游戏公司就因此遭受到惨痛的教训。该公司把自己托付给了一家著名的DDoS托管服务公司，认为得到了很好的保护。然而，在一个星期天，公司相关关键员工不在岗，一系列容量耗尽攻击瞄准并最终攻破了它。只有少数高级别员工联系到了DDoS服务供应商来处理事件，但不幸的是，一切都太晚了。等他们发现问题后，公司内部团队和服务供应商还拨错了会议电话号码，进一步延迟了对事件的响应。结果，缓解措施生效时为时已晚，游戏服务宕机超过90分钟。网络游戏玩家要的是高质量、超快速的服务，不能接受无法连网，完全可能去别的游戏网站。这一事件导致这家游戏公司至少损失了100万美元的收入。此外，还有客户关系的受损，以及为留住这些玩家要进行的推广等费用这些都是DDoS成功攻击后造成的其他长期后果。

DDoS服务供应商会出现什么问题?

到底哪里出了问题?与一家著名的DDoS保护服务供应商签署了协议后，这家安全工作人员很少的游戏公司感到很安全。他们没有充分意识到，而且DDoS服务供应商也没有解释清楚的是，速度是事件响应和成功缓解威胁的关键因素。

安全部门从未受过培训;也没有针对这类不测事件进行过实践演练。所有信息的传递和转换都只是取决于某一两个人的知识和权威。

对于DDoS攻击，事件响应往往会滞后。那么，一个有效的事件响应流程应该是什么样子?把它分为六步就很清楚了，需要注意的是，这六个阶段不应该是线性，而应该是循环的。

第一步：准备

这可能是最困难但也是最重要的阶段，因为它奠定了基础。如果没有充分的准备，失败几乎是必然的。在攻击过程中，没有时间去弄清楚怎么进行响应。

首先，建立团队并分配职责。通常来说应对高级威胁是安全运营部门的责任，DDoS防御则由网络部门负责，而不是安全部门。在攻击期间，打破这些壁垒对于沟通至关重要。应该建立上下游关系以及沟通流程——规定谁给谁打电话，为什么等等。

第二步：识别

缺乏网络可见性，企业就缺乏必要的信息，不知道糟糕的服务或者应用程序性能下降是DDoS攻击数据流造成的还是网络错误配置造成的。内部部署解决方案可以提供快速诊断问题所需的关键数据流可见性，节省IT和网络部门宝贵的时间，同时提高性能。

第三步：分类

看到什么样的攻击? 了解它会怎样继续下去，以及需要采取什么样的对策。

第四步：追溯

查明攻击的来源——从何而来?它会影响哪里的网络以及怎样影响?这有助于辨别所看到的其他网络问题是否与攻击有关。

第五步：反应

在发现攻击并进行分类和跟踪之后，一般就能更好地准备应用最合适的缓解工具。没有一种工具或者方法能够适用于所有情形。最好是手边有不同的工具包，并尽可能利用自动响应功能。

第六步：事后

分析发生了什么?学到什么?如何能做得更好?每个人都错过了哪一步骤?下一次如何能反应更快，更轻松一些?针对发现的任何具体问题，回到第一阶段，将其应用到准备过程中。

通过最佳实践防御来加强反应能力

文章开头提到的那家网络游戏运营商的经历也凸显了混合检测和缓解解决方案的必要性。这种解决方案结合了基于云和本地部署的保护功能，目前大部分安全分析师都认为这是一种DDoS缓解的最佳实践。如果只是基于云的服务，当攻击已经开始时，往往由客户负责通知MSSP。本地部署的DDoS解决方案(设备的或者虚拟的)提供了网络可见性，并有一些内置的对抗措施，在意识到攻击之前，检测到攻击时就会自动启动对抗措施，而无需人工干预。这能够节省宝贵的时间来启动和协调事件响应计划。

在最佳实践应用场景中，本地部署和基于云的防御措施实现无缝保护。通过先进的“云信令”，当网络中的攻击流量达到设定容量时，本地部署设备通知云基础设施启动缓解措施。

毫无疑问，自动化提供了事件响应中的关键优势。但不能完全依赖它，事件响应计划仍然需要。攻击者肯定会采用先进的技术，但他们真正的优势在于其狡诈性。要想高效应对DDoS，应该把先进技术和人类智能结合起来，以阻止不正当的行为。实践，实践，再实践。

关于作者：金大刚(Alex Chin)Arbor Networks 大中华区总经理