同样，在规划对DoS攻击做出响应时，企业的计算机安全事故响应团队(computer security incident response team,简称CSIRT)应该建立与业务部门、包括在业务运作方面主要决策者沟通的方法，以确保在事故期间告知重要的利益相关人并与其磋商。应该认定主要的决策者，并且赋予其在最坏情况下中断因特网连接、或是仅是中断部分因特网连接的权力。禁用因特网连接可能要求高层领导签署决策，但是断开单个网络连接可由CSIRT团队决定。同相关内部部门的沟通也应该开放，包括市场或是公众关系部门，以便这些部门能够就该DoS攻击事件和媒体交流。建立这些沟通渠道也能帮助认定主要决策者，例如搞清楚如果需要的话谁能授权购买新的DoS防范网络设备来将攻击的影响最小化。

　　DoS攻击响应准备：技术响应

　　对于包括DoS攻击在内的任何事故响应情况来说，准备工作对于快速地缓解该问题是关键的。准备工作取决于攻击类型，以及因特网主机位于何处。技术上的准备工作能够划分为网络和Web基础设施部分，包括辨识、响应和监控。辨别DoS攻击可能从简单的，如收到某个消费者无法使用Web站点的通知，到更为复杂的，例如收到来自带宽监控工具的通知，报告WAN连接使用率过高。

　　一旦被告知可能发生的事故，要调查被攻击的基础设施来判断最有效的响应措施。通过观察IDS、数据流、服务器日志、应用日志或是其它网络数据，并且查找高使用率模式来辨别被攻击的特定服务器或是应用。如果某个Web应用被攻击，响应措施可能是将该Web站点迁移到另外的主机服务提供商、服务器或是网络，或者是利用DoS防护工具来确保业务运作的持续性。这些服务器或服务甚至可以迁移到云服务提供商或是内容分发网络上。可以使用监控来判断是否攻击已经停止、发生变化或是需要额外的措施。监控手段可能仅是利用侦测工具并且创建当满足阈值条件时的告警，例如80%的连接利用率或是大量的UDP连接。你也可以联系攻击源头的ISP来要求他们阻断他们的顾客参与DDoS攻击或是阻断攻击来源。你可以自己来阻断攻击来源，但是阻断大量的攻击计算机可能是困难的。一旦DoS攻击减弱后，要么取消措施、或是将Web站点移回原来的主机上。要评估防护措施是否到位或者是应该保持长期的变更。

　　结论

　　DoS攻击可以使业务瘫痪，但是提前准备的话，对业务的干扰能够降至最低。DoS攻击的发展已经使得阻断它们和追溯所有的攻击来源更加困难，但是新的方法可以将其影响最小化。要阻止此类攻击不太可能，而有准备工作保障持续地运转业务是可能的。但是准备工作必须不仅包括公司内部的技术措施，还应该包括与外部服务提供商详尽的沟通和规划，由详细的SLA提供的支持会防止发生事故时预料外的耽搁和费用。

(责任编辑：)