【IT168 方案】从去年初以来，国际金融机构便接二连三被分布式拒绝服务攻击(DDoS)纠缠不休，其中多次攻击都是由一个名为卡桑网络战士(QCF)的组织所发动，其最显著的一次是今年年初针对美国金融机构、代号为“燕子行动”(Operation Ababil)的攻击，最近该组织更在Pastebin 发表每周更新，重申其发动“燕子行动”的动机及总结其带来的影响。

　　除了QCF，不少黑客团体也在摩拳擦掌策动DDoS攻击，其目标往往是金融服务机构，集中攻击其网站表格与内容。此外，更有些DDoS攻击变成“进阶”的多向量版本，把DDoS与账户窜改及诈骗手法结合，带来更大的杀伤力。

　　以上例子表明，在过去的一年半，DDoS黑客活动的频率与手法不断提高，近期的个案显示不同规模的银行正面临不同形式的DDoS攻击，这包括传统SYN 攻击、DNS泛洪攻击、DNS放大攻击，以及针对应用层和内容的攻击。而针对SSL加密网页资源和内容的拒绝服务(DoS)攻击更是变本加厉。在一些情况下，黑客会采用一种混合形式的攻击，用难以阻止的应用层方法，结合“低成本”、大批量，但可用简单的手段进行过滤及阻挡的攻击。

　　为了应对此等级别的恶意活动，首席信息官、首席信息安全官，以及他们的团队需要部署一个全盘抗击方案，采用一套全面的防御工具，结合公司内部署的安全技术和基于云端的清洗服务。此外，他们也需考虑执行情报收集和发布工作，支持一套全面的DoS缓解策略。

　　Check Point 软件技术有限公司建议金融机构在制订抗击DDoS 策略时应考虑下列数点：

　　采用数据清洗服务或类似的清洗供应商来应对大批量耗尽攻击

　　达到80 Gbps的DDoS攻击已经不稀奇，个别案例甚至高达300 Gbps。只有极少的组织机构可以有带宽来应付这种规模的攻击。当面对如此大规模的DDoS攻击，企业应首先考虑通过基于云的清洗供应商来管理其网络流量，协助除掉数据流中的恶意数据包。此等供应商拥有所需的工具及足够的带宽，所以可以作为抗击大批量耗尽攻击的第一道防线，使DDoS攻击止步于云端，而常规业务数据流则能顺利通过网络。

　　使用专门的DDoS攻击防御设备，对攻击进行识别、隔离与修复

　　有鉴于DoS攻击日趋复杂，同时结合大批量和应用的攻击，企业需要采用一个综合多种抗击手法的方针。要有效抵御结合应用及“低而慢”攻击的多向量攻击，必需充分利用在公司部署的专用防御设备，防火墙和入侵防御系统在缓解DDoS攻击方面至关重要，DDoS安全防御设备构建一个额外的保护层，通过专用技术对DoS活动进行实时鉴别并阻截。管理员还可以通过设置此等公司内部安全方案，与云清洗服务供应商沟通，在遭受攻击时可自动地把攻击路由出去。

　　企业需要调整防火墙以处理大量的连接率

　　在遭受DDoS攻击时，防火墙将是关键的网络设备。管理员应该调整其防火墙设置，以识别和处理大批量耗尽和应用层攻击。此外，视乎防火墙的性能，有些保护功能可激活以阻止DDoS攻击数据包，在攻击过程中提高防火墙的性能。

　　制定一套保护应用的方法及策略，抵御DDoS攻击

　　安全技术可以有效抵御DDoS攻击，但是管理员也需要考虑调整Web服务器，修改自身负载均衡及内容分发策略，确保系统取得非常好的的正常运作时间。此外，也可以考虑配置抵御多种登陆的攻击。另外一个防御机器策动、自动进行攻击的方法是在网页中增设服务细节选择，例如页面询问浏览者是否有兴趣取得低息率或新产品信息，用户需按下“接受”或者“不用，谢谢”按键后，方可继续进入后续页面。

　　此外，内容分析十分重要，这可以简便地确保没有大量PDF文件堵塞价值重大的主机服务器。

　　以上都是有些执行DDoS缓解策略的重要手段。企业必须与服务提供商及互联网服务提供商(ISPs)携手合作。ISP必须参与并支持此等抗击策略，因为DDoS攻击与银行等金融机构使用相同的网络，而ISP则支持这两种数据流。

　　情报收集和分发对抵御DDoS的重要性也日益增加，这需要调查公司内部网络的数据，以及在金融服务业其它公司的网络中的数据。

　　了解黑客身份、其攻击动机和手法等信息可以帮助管理人员准确预测并防范攻击。分辨DDoS攻击可以是根据协议(SYN、DNS、HTTP)、攻击数据包的来源，策动和控制攻击的网络、攻击在一天内的启动和结束时间等。目前，此等信息共享只限于业界友好间，正确的发展方向是构建自动化系统，不同机构可以登录一个方案，通过研究有关联的原始日志信息，掌握进行中或已结束攻击的蛛丝马迹，此等系统也可以用作分享攻击情报及分发相关保护。