我們到底該如何抵御一場(chǎng)無情的分布式拒絕服務(wù)攻擊?下面就請(qǐng)結(jié)合實(shí)例,隨我們一同了解。
2015年5月17日星期天,網(wǎng)絡(luò)犯罪分子向我所在的企業(yè)——HotSchedules公司,負(fù)責(zé)為來自餐廳、醫(yī)院以及零售行業(yè)的超過200萬員工提供云服務(wù)——發(fā)動(dòng)了一場(chǎng)惡毒的分布式拒絕服務(wù)攻擊。從星期天夜間到星期二下午,這些惡意人士在長(zhǎng)達(dá)45個(gè)小時(shí)內(nèi)阻撓著用戶正常檢查并管理自己的工作規(guī)劃——而且從未透露其攻擊動(dòng)機(jī)。
雖然這對(duì)于每一位CEO來講都是一場(chǎng)令人難忘的噩夢(mèng),但對(duì)我個(gè)人而言這卻成了一次寶貴的經(jīng)驗(yàn)并值得為公司的整場(chǎng)頑強(qiáng)對(duì)抗感到自豪。HotSchedules在過去16年當(dāng)中曾成功化解過多次網(wǎng)絡(luò)攻擊,且沒有經(jīng)歷過任何一次服務(wù)中斷。這次來襲的攻勢(shì)異常兇猛,相信我的經(jīng)歷幫助大家從中總結(jié)教訓(xùn)并獲得啟示。
由于好萊塢大片的錯(cuò)誤引導(dǎo),我們往往將網(wǎng)絡(luò)攻擊的對(duì)抗想象成是正義與邪惡兩方的黑客們各自坐在冷冰冰的屏幕前,利用散發(fā)出綠色熒光的代碼在互聯(lián)網(wǎng)當(dāng)中激烈過招。但在現(xiàn)實(shí)生活中,網(wǎng)絡(luò)安全對(duì)抗需要企業(yè)內(nèi)每一位員工的參與。如果大家正在經(jīng)驗(yàn)一家企業(yè),那么攻擊活動(dòng)會(huì)考驗(yàn)?zāi)钠髽I(yè)文化、團(tuán)隊(duì)協(xié)作以及集體使命感。團(tuán)隊(duì)要么找到辦法完成向客戶作出的業(yè)務(wù)承諾,要么眼睜睜看著業(yè)務(wù)體系陷入癱瘓。每一項(xiàng)網(wǎng)絡(luò)攻擊手段都擁有對(duì)應(yīng)的技術(shù)性解決方案,但員工的實(shí)際反應(yīng)才真正決定著企業(yè)的最終命運(yùn)——更具體地講,也就是客戶眼中的勝負(fù)關(guān)系。
人為因素
星期天傍晚,此次DDoS攻擊的消息正式傳開,HotSchedules公司的全體員工立刻沖進(jìn)自己的辦公室。沒有應(yīng)急部署,也沒有臨時(shí)方案。在這場(chǎng)對(duì)抗當(dāng)中,人們自發(fā)采取了主動(dòng)態(tài)度,按照既定方式開始應(yīng)對(duì)。
對(duì)于任何一家企業(yè)而言,遇到攻擊活動(dòng)之后的最高優(yōu)先級(jí)就是繼續(xù)為客戶提供服務(wù)。我們?nèi)匀荒軌蛟L問自己的數(shù)據(jù)庫,所以技術(shù)工程師們匯總出名單并將其轉(zhuǎn)交給我們的客戶服務(wù)團(tuán)隊(duì)。這時(shí)的客戶服務(wù)團(tuán)隊(duì)已經(jīng)在規(guī)模上得到擴(kuò)充,其中包括原有團(tuán)隊(duì)成員、客戶成功經(jīng)理、市場(chǎng)營銷人員、人力資源員工以及其他幾乎來自各個(gè)非技術(shù)部門的員工。他們將日程規(guī)劃下載下來并通過郵件將副本發(fā)送給客戶。在接下來的48個(gè)小時(shí)當(dāng)中,我們的團(tuán)隊(duì)一直通過電話、郵箱以及社交媒體不眠不休地為客戶提供幫助。當(dāng)客戶打進(jìn)電話時(shí),我們能夠提供名單、時(shí)間表、崗位交換以及其它多種核心服務(wù)。
優(yōu)先級(jí)中的次要項(xiàng)目就是保持透明度。一旦我們了解到當(dāng)前事態(tài),會(huì)立刻將情況匯報(bào)給客戶。我們的政策是“不搞暗箱操作,一切明面進(jìn)行”。這一原則是我從BTC Revolutions處學(xué)來的,這是一家數(shù)字化社交營銷及戰(zhàn)略規(guī)劃機(jī)構(gòu),他們負(fù)責(zé)了我公司員工團(tuán)隊(duì)的培訓(xùn)工作。我們?cè)谧约旱墓俜骄W(wǎng)站、Facebook、Twitter等平臺(tái)上發(fā)布聲明并更新實(shí)時(shí)動(dòng)態(tài),并在第二天早上直接向客戶打電話匯報(bào)情況,同時(shí)回答我們?cè)诰W(wǎng)站及推文評(píng)論中收到的問題。
我們的團(tuán)隊(duì)不眠不休地工作了兩天,同時(shí)保持著令人難以置信的工作強(qiáng)度與效率水平。數(shù)據(jù)中心的地板成了臨時(shí)休息區(qū),工程師們始終堅(jiān)持在自己的崗位之上,只是偶爾到這里小憩一會(huì)兒。很多企業(yè)恐怕不具備如此出色的員工隊(duì)伍。歸根結(jié)底,這取決于我們雇用誰、如何培訓(xùn)他們以及如何幫助他們?cè)诠ぷ鳟?dāng)中獲得認(rèn)同感與成就感。作為CEO,我對(duì)于自己的員工團(tuán)隊(duì)感到無比驕傲。
網(wǎng)絡(luò)戰(zhàn)爭(zhēng)
在每一位面向客戶的團(tuán)隊(duì)成員都在努力維持服務(wù)進(jìn)行并與客戶進(jìn)行交流的同時(shí),我們的IT部門則集中力量解決網(wǎng)絡(luò)威脅。雖然沒有繼續(xù)數(shù)據(jù)遭遇泄露,但我們對(duì)這樣的惡意攻擊仍然缺乏必要準(zhǔn)備。
攻擊過程當(dāng)中,每秒數(shù)據(jù)傳輸流量達(dá)到了驚人的10至15 Gb每秒(即Gbps)——這相當(dāng)于我們正常傳輸速率的250倍。當(dāng)我打電話給從業(yè)銀行及電信工作的朋友需求幫助時(shí),恐怖的數(shù)字令我們也呆立當(dāng)場(chǎng)。對(duì)于大多數(shù)商業(yè)企業(yè)來講,這樣的流量都遠(yuǎn)遠(yuǎn)超過預(yù)期。只有整個(gè)團(tuán)隊(duì)的成員在精心的編排之下通力協(xié)作,再配合極為昂貴的網(wǎng)絡(luò)資源投入,才有可能應(yīng)對(duì)得了這么龐大的流量壓力。
我們很難確切掌握攻擊活動(dòng)是否會(huì)停止,又將在何時(shí)停止。無論我們?cè)鯓虞氜D(zhuǎn)騰挪,DDoS都如影隨形。當(dāng)時(shí)我們?cè)?jīng)試圖將服務(wù)利用其它IP地址進(jìn)行發(fā)布,但犯罪分子很快就再次跟了上來。因此,我們做出了一個(gè)艱難的決定,即發(fā)布“黑洞”來舍棄一部分流量。這事實(shí)上傳達(dá)出了這樣的一種信息——“你已經(jīng)惹到我們了,我們絕不會(huì)讓你實(shí)現(xiàn)任何進(jìn)一步破壞。”
最后,勞累的安全工程師們?cè)谑鼙Wo(hù)子網(wǎng)上重新設(shè)計(jì)了整套服務(wù),而相關(guān)保護(hù)則由Akamai公司的云安全解決方案提供——其流量承受上限高達(dá)321 Gbps。到5月19號(hào)星期二的凌晨2:37,我們的服務(wù)終于重新上線。
經(jīng)驗(yàn)總結(jié)
聯(lián)邦調(diào)查局方面一直無法確定是誰組織了這次惡意攻擊,而且整個(gè)過程中我們也沒有收到任何贖金要求、聲明或者動(dòng)機(jī)解釋。來自多個(gè)國家的成千上萬臺(tái)服務(wù)器都參與到了攻擊當(dāng)中,而且我們發(fā)現(xiàn)其中有六成左右來自海外地區(qū)。面對(duì)這樣撲朔迷離的狀況,我懷疑我們永遠(yuǎn)也抓不到這群犯罪分子。
考慮到有90%的企業(yè)遭受過DDoS攻擊,我想奮力抵抗是值得的——無論需要付出怎樣的代價(jià)。從云環(huán)境退縮回內(nèi)部設(shè)施,就像是為了避免事故而從汽車回退到馬匹那樣,簡(jiǎn)直是荒謬??紤]到內(nèi)部技術(shù)方案的高昂成本,餐飲行業(yè)當(dāng)然更傾向于使用價(jià)格低廉的云與移動(dòng)計(jì)算產(chǎn)品。雖然剛剛遭受了攻擊,但我仍然號(hào)召整個(gè)行業(yè)以勇敢且積極的心態(tài)面對(duì)這一切。
此次DDoS攻擊是我從業(yè)以來帶來壓力最大的一次事故,但它卻也讓我積累到了寶貴的經(jīng)驗(yàn)。在整個(gè)過程中,我們沒有丟失任何數(shù)據(jù),并且仍然為客戶提供一定程度的服務(wù)支持。我還知道,公司的一組同事連續(xù)45個(gè)小時(shí)一直在幫助客戶解決問題。對(duì)于企業(yè)而言,這樣出色的員工顯然比任何技術(shù)成果都更加重要。