Dave Piscitello,ICANN 安全小组代表
DDoS 攻击现已成为一个日益严峻的问题,而 ICANN 在应对此类威胁方面的能力却非常有限。因此,我们安全小组特在此提供一些介绍,帮助大家了解如何报告 DDoS 攻击。
目前,无论是在规模、强度还是频率上,分布式拒绝服务攻击都有愈演愈烈之势。人们可能出于政治、犯罪和对社会不满等动机发起此类攻击,所有提供在线服务的商家或组织都是其潜在攻击目标。同时,由于主机、DNS 和宽带等互联网基础设施具有共享特性,许多商家或组织还可能遭受池鱼之灾。如果您发现自己的网站或组织遭到攻击,请务必迅速就近向能够帮助您应对和抵抗攻击并恢复正常服务的单位报告相关攻击情况。
受到攻击时,我该怎么办?我应该向谁求助?
包括 Web、DNS、互联网语音、邮件等任何互联网服务都可能遭到 DDoS 攻击。如果您组织的服务商托管服务遭到攻击,请第一时间联系托管服务商。如果您组织自行管理的网络或互联网服务遭到攻击,请第一时间采取相应措施,以限制或遏制攻击。然后,请致电您的互联网接入服务提供商。大多数托管服务提供商和 ISP(互联网服务提供商)都会在他们的网站上公布紧急联系号码,还有许多提供商至少会在票据上留下普通情况联系号码。如果您只有普通情况联系号码,请向客服代表说明您的组织或网站正遭受攻击,并要求其将您的电话转接至有能力和权力对攻击进行调查的运营工作人员。
求助对象
一次 DDoS 攻击所带来的网站流量可能来自成百上千个攻击源(通常是已被黑客攻克的个人计算机或服务器)。您的托管服务提供商和网络接入服务提供商通常会与您站在同一阵线(这也是为了保护其自身利益)。他们会联系负责路由 DDoS 攻击源流量的”上游”提供商和 ISP,并将此类攻击的性质和可能来源通报给他们。
这些运营商将会对此进行调查,并且通常会重启路由器或采取其他措施,以压制或丢弃来自攻击源附近的流量。如果您无法找到联系信息,或者您所找到的联系人无回应,请尝试联系计算机应急响应小组 (CERT)、计算机事件响应小组 (CIRT)、计算机安全事件响应小组 (CSIRT) 或者可信介绍人 (TI) 小组。CERT/CIRT 组织(点击此处查看国家/地区列表)或 TI 小组会对攻击进行调查,并将相关信息分享给此次攻击所使用资源的所属托管服务提供商或 ISP,并与所有相关方协作,设法减轻攻击造成的影响。
我应该联系执法机构吗?
如果您认为此次攻击已构成犯罪,请联系您所在国家/地区的执法机构。例如,如果您的组织在受到攻击前曾被人威胁,或遭人索要金钱以免被攻击,或者您认为一些关键基础设施或关键服务的正常使用(如 911 急救等)受到威胁,则您应该联系执法机构。
联系执法机构的目的在于报告犯罪行为,而非缓解攻击。许多司法管辖区都将 DDoS 攻击认定为犯罪行为。在向执法机构报告时,您和其他受害者应提供相关信息,以帮助机构执行后续调查或起诉攻击者。
提供恰当的信息
在运营层面上,您和托管服务提供商或 ISP 应尽可能多地搜集与此次攻击有关的信息。运营安全信托论坛建议主要搜集以下几种信息:
- 提供尽可能多的时间信息:记录攻击开始和结束的时间,是否有重复攻击行为,以及是否遵循一定的攻击模式或周期。
- 提出您对攻击性质的看法和怀疑。此次攻击是否与地缘政治事件有关?您是否曾在被攻击前或被攻击期间收到威胁消息,如果是,那它属于什么性质的威胁?
- 提供详细的流量信息,包括:流量类型(ICMP、DNS、TCP、UDP、应用层)、源头 IP 地址和目标 IP 地址以及端口号、分封速率、封包大小和攻击流量所消耗的带宽。
- 描述您所观察到的所有独特流量或封包特征。攻击目标是某一特定的虚拟主机或域名吗?您从应用协议头上观察到了什么?您是否在底层协议中(TCP、UDP、ICMP、IP)观察到任何异常类型的标志设置?
- 指出随着时间的推移,攻击发生了哪些变化(即封包大小、分封速率、每个阶段或协议所出现的独特 IP)。这些变化可能表示攻击者正在根据您或其他人所采取的应对措施调整攻击策略。
- 提供您对攻击影响的评估。例如,说明您是否有通过应对措施和其他协助来处理此次攻击,您的服务或性能是否受到了{中等、严重}影响,或者您的服务是否被完全中断。
切勿坐以待毙
如果您还未制订具体计划来应对 DDoS 攻击,请考虑以下措施。文章《为不可避免的 DDOS 攻击做准备》中提供有一个清单,列举了若干联系人、相关信息以及一些应对策略。以下是一些有用的资源,可帮助您更好地理解不同种类的 DDoS 攻击,并描述了一些应对技术,以及您的组织要如何做才能减轻这些攻击的整体威胁: