暗網潛航——DDoS(四):攻守相赴(五)

  雖然「消極式防禦」只能「緩減」,卻無法根絕或逃避分散式阻斷服務攻擊(DDoS),但總比甚麼都不做好多了。絕大部份系統在在網絡上死了也不知道,他們不過是不斷輪迴,在重啟和被打死的無間地獄之間。

  要實行消極式防禦,但又面對以「能跑就算」的系統配置,甚至程式碼混亂,充滿Bug及邏輯錯誤時,那就安裝一道EAL等級的軟件防火牆吧!同時防火牆裏只構建白名單,除了必須的對外連接、程序及功能外,其他全部閹割關掉,並在網站層面設置沙盒及reCAPTCHA,把一切機械人全部擋走。

  之後緊記把系統和軟件全部記錄成列表,告訴IT部門每一日第一件事,就是先看有甚麼更新。更新後還要記得使用掃描器,進行漏洞及除錯掃描。

  如果你不懂得計算系統所需的網絡資源或負載量,那就找一個能夠提供「內容傳遞網絡」(CDN)的供應商,把你的網站內容分散負載。

  另一方面,你也要明白系統遭受DDoS攻擊,並不止發生在你內部網絡系統上,你上游的網絡供應商也有可能受襲。所以要設置後備網絡供應商,一個死了用後備系統,用另一條線路頂上。最後是找Anti-DDoS供應商及網絡危機監控中心幫忙抵擋攻擊、漏洞掃描,以及警示更新和危機,反正你沒有那麼多資源進行安全監控,也不懂得怎樣做。

  可能你會想,要實行消極式防禦,不是要花額外成本嗎?沒錯!你先天不足也不懂得怎樣保養維持健康,如果不花錢購買補品及聘請看護,還可以怎樣?這些方法至少可令你的系統面對攻擊時,仍可提供部份服務。

TOZ聯合創辦人

龐博文


hd