安全管理：减轻DDoS攻击危害

大部分网络都很容易受到各种类型的黑客攻击，但是我们可以通过一套安全规范来最大限度的防止黑客攻击的发生。

但是，分布式拒绝服务攻击（DDoS）是一个完全不同的攻击方式，你无法阻止黑客对你的网站发动DDoS攻击，除非你主动断开互联网连接。

如果我们无法防止这种攻击，那么怎么做才能最大限度地保护企业网络呢？首先你应该清楚的了解DDoS攻击的三个阶段，然后再学习如何将这种攻击的危害降到最低。

理解DDoS攻击

一个DDoS攻击一般分为三个阶段。第一阶段是目标确认：黑客会在互联网上锁定一个企业网络的IP地址。这个被锁定的IP地址可能代表了企业的Web服务器，DNS服务器，互联网网关等。而选择这些目标进行攻击的目的同样多种多样，比如为了赚钱（有人会付费给黑客攻击某些站点），或者只是以破坏为乐。

第二个阶段是准备阶段：在这个阶段，黑客会入侵互联网上大量的没有良好防护系统的电脑（基本上就是网络上的家庭电脑，DSL接入或有线电缆接入方式为主）。黑客会在这些电脑中植入日后攻击目标所需的工具。

第三个阶段是实际攻击阶段：黑客会将攻击命令发送到所有被入侵的电脑（也就是僵尸电脑）上，并命令这些电脑利用预先植入的攻击工具不断向攻击目标发送数据包，使得目标无法处理大量的数据或者带宽被占满。

聪明的黑客还会让这些僵尸电脑伪造发送攻击数据包的IP地址，并且将攻击目标的IP地址插在数据包的源地址处，这就是所谓的反射攻击。服务器或路由器看到这些数据包后会转发（即反射）给源IP地址一个接收响应，更加重了目标主机所承受的数据流。

因此，我们无法阻止这种DDoS攻击，但是知道了这种攻击的原理，我们就可以尽量减小这种攻击所带来的影响。