(2)加大网络带宽，配置负载均衡，采取灾难备份系统等措施，增加攻击难度，提高系统可生存性和韧性。网络带宽是决定抗攻击的能力重要因素之一，如果业务性质是不能间断的，当前至少要选择100Mbps的共享带宽，最好当然是1000Mbps的主干网络。
    (3)使用专门的检测工具，加强监测。
    3.从人员层面来说，应急响应服务涉及多种能力，需要专门的培训和演练。
    有许多计算机安全专业组织提供应急响应培训，如中国信息安全产品测评中心（CNITSEC）提供的注册信息安全专业人员（CISP）培训，内容包括解决信息安全事件所需的法律、技术、管理、工程等方面的知识和技能。
    （二） 事发或事后的应急响应
    如何做好网络攻击事件的应对准备呢？
    保持警惕，发现拒绝服务攻击的预兆和征兆，一经发现就可以立即判断其是否为拒绝服务攻击事件。例如，当网络的通讯量突然急剧增长，超过平常的极限值时就需提高警惕，对于流量的判断可以使用称为tcpdstat (http://staff.washington.edu/dittrich/ talks/core02/tools/tools.html)的工具。这个工具通过读和挖掘tcp-dump 文件，生成一个text文档如下： 　
    其它字段我们且不说，PeakRate这个值对于拒绝服务攻击来说，很有参考意义。这个值指的是一个小时内的最高输出，当与一天中的其它时间进行比较时，可以针对某次攻击给出一个大致描述。甚至，我们可以写一个简单的运行脚本，检测以小时为单位的网络流量最大输出率。
    一旦网管人员检测到了不寻常的DOS攻击流量，组织机构就能够迅速地转换安全状态来阻止攻击，例如改变防火墙规则集来阻止一个特定的协议或者保护一个脆弱的主机。其它可能的征兆还包括：系统不可用的用户报告；无法解释的连接丢失；网络入侵检测警报 ；主机入侵检测警报；大量至单个主机的连接；非对称的网络流量模式；有不正常源地址的包等。
    检测和分析事故后，重要的是在受事故控制的资源蔓延之前或者损失增大之前将事故遏制。如前所述，拒绝服务攻击通常会伪造源地址或者使用成百上千个僵尸主机。在这两种情况下，实施有效的基于源地址的过滤变得很困难。推荐如下解决方法：
    1.基于攻击特征实施过滤。例如，如果攻击正使用ICMP回复请求，可以临时性地改变边界策略，阻止整个网络发来的请求。不过，如果攻击者是对一个 Web 服务器发起的SYN泛洪攻击，那么阻止这样的包到端口本身将导致一个对用户的DoS。另一个策略是使用网络流量速率限制：一些路由器有流量速率的最高限制。这些限制条款规定不同类型的网络流量匹配有限带宽。这一措施能预先缓解正在进行的攻击，同时，应将这些过滤器尽量设置在网络上游。
    2.纠正正在被攻击的漏洞或弱点。如果攻击是利用了被攻击软件实现上的缺陷完成DoS攻击的，如操作系统未及时进行补丁更新，这样的话，可能需要暂时断开网络隔离主机来阻止DoS攻击，直到主机被加固。
    3.让ISP实施过滤。组织机构必须依靠他的互联网服务供应商来实施过滤以阻止DoS攻击活动。由网络服务供应商在他的下游网络设置入口过滤，以防假信息包进入网络，这将防止攻击者伪装IP地址，从而易于跟踪。
    4.重定位目标。如果一个特定的主机已被攻击者攻破，并且遏制战略没有发挥作用，那么此时应当将目标服务进行转移，主机移动到不同的IP地址上，使得攻击者无法定位到移动后的IP。可以采用的一个办法是为关键服务器配备一条专门的路由。这条专门的路由可以是廉价的数字线路，专用于负载均衡或者突发攻击环境下进行数据交换。
    5.攻击攻击者。当攻击正在进行时，追踪数据包的源头，管理员甚至可以使用远程关闭DDoS代理的程序，或者他们可以修改网络或者服务器的配置来把攻击流量反弹到它的源头。但是，如果源地址是伪造的或者源地址是合法但共享的（例如：代理防火墙），那么这些技术可能会无意攻击无辜的部分。所以这样的技术不建议使用。
    6.设定证据保留时间。如果所应对的拒绝服务攻击事件引起了一场法律诉讼，你所获的数字证据和文档在审判过程中很可能被用作证据，所以组织机构要对来自事故中的证据保留多久设定策略。即使是作为后续跟踪报告或者是经验教训总结，也需要考虑存储介质的保存时间，如果存储的数据不可再读出，也就失去了保存的价值。

三、结 语
    应急响应处理涉及许多不定因素，所以不要期望一次性做出完美流程，适应所有广泛情形。但是，按本文介绍的方法定义过程阶段，划分清晰的分界线，可以逐渐增强准确信息的积累工作，促进快速侦查，提高组织机构网络安全应急响应能力，将拒绝服务攻击事件对商业和网络运作的破坏性减到最小。

    作者简介 李静(1981—)，女， 中国信息安全测评中心工程师，主要研究方向为信息安全。

(责任编辑：adminadmin2008)