很多企業都曾思考或者經歷過：當其系統遭受針對性分布式拒絕服務攻擊會發生什么。多年來，我們看到很多看似靈活的企業由于分布式拒絕服務攻擊失去其核心網絡業務。

特定系統網絡中斷是一回事;但是，你有沒有想過，如果你企業整個域名系統功能都失效會發生什么?域名系統(DNS)基本是互聯網(以及你的企業)的循環系統，我們很難想象企業沒有它可以存活。

在最近的DDoS攻擊中，托管DNS提供商NS1及其客戶遭遇了這種情況。開始的批量密集攻擊很快變成直接的DNS查詢攻擊，這最終制造了持續的DNS問題。如果連DNS提供商都遭受攻擊，那么任何企業都可能遭受攻擊。

在很大程度上，處理DDoS攻擊的方法已經演變成增加容量以在多個系統間有效分散負載，從而更好地減小影響。在NS1的博客文章中提供了各種DDoS緩解策略，其中最有效的策略包括如下：

DNS服務部署在兩個獨立網絡

與反分布式拒絕服務供應商合作

通過系統監控和警報，確保系統間最大可視性，最好是通過第三方托管安全服務提供商。

經驗只有在某次很需要它的行動之后你才能獲得。對于拒絕服務相關事件響應，更聰明的做法是提前想好最壞的情況，然后采取必要的措施以確保它不會發生。這種方法被稱為“最小最大”遺憾分析;你最小化最大的遺憾。

奇怪的是，仍然有很多企業(包括大型企業)還沒有找到或解決相對基本的DDoS相關漏洞。在這些漏洞中，有些漏洞非常明顯，就像漏洞掃描和滲透測試檢測出的漏洞，例如DNS流量放大以及DNS遞歸查詢被啟用。這些漏洞存在于路由器、防火墻以及暴露于互聯網的服務器。下面是最大程度減小側重DNS的DDoS攻擊影響的方法：

找尋“唾手可得”的漏洞，例如上述DNS漏洞。

從網絡架構的觀點來看，看看DNS服務在你的環境中如何運作，并確定具體的瓶頸點以及單點故障，包括云服務及業務合作伙伴連接。

與你的互聯網、托管、云計算和DNS服務提供商進行討論，并詢問他們為減小這種風險他們已經部署了什么緩解策略。

根據你收集的信息，確定還需要做什么，例如增加額外的DNS提供商、使用反DDoS供應商的服務等。

也許最重要的是，直接在事件響應計劃或業務連續性計劃中記錄你對這些DDoS緩解策略和技術的標準，以及處理這些事件的程序。

執行模擬桌面(或真實)演練以確定薄弱環節。解決你發現的漏洞，然后對部分信息安全計劃進行拒絕服務和事件響應測試。

對于最大限度減少安全風險，最好的辦法還包括從他人的事件中吸取經驗，例如NS1和其他遭受攻擊的DNS提供商。最后，確保你部署了適當的安全控制來解決此類事件。請記住，你的總體目標不是完全消除這種風險，而是盡量減少對你企業的影響。