安全管理：减轻DDoS攻击危害

减小攻击影响

入侵过滤（Ingress filtering）是一种简单而且所有网络（ISP）都应该实施的安全策略。在你的网络边缘（比如每一个与外网直接相连的路由器），应该建立一个路由声名，将所有数据源IP标记为本网地址的数据包丢弃。虽然这种方式并不能防止DDoS攻击，但是却可以预防DDoS反射攻击。

但是很多大型ISP好像都因为各种原因拒绝实现入侵过滤，因此我们需要其他方式来降低DDoS带来的影响。目前最有效的一个方法就是反追踪（backscatter traceback method）。

要采用这种方式，首先应该确定目前所遭受的是外部DDoS攻击，而不是来自内网或者路由问题。接下来就要尽快在全部边缘路由器的外部接口上进行配置，拒绝所有流向DDoS攻击目标的数据流。

另外，还要在这些边缘路由器端口上进行配置，将全部无效或无法定位的数据源IP的数据包丢弃。比如以下地址：

◆10.0.0.0 - 10.255.255.255
◆172.16.0.0 - 172.31.255.255
◆192.168.0.0 - 192.168.255.255

将路由器设置为拒绝这些数据包后，路由器会在每次拒绝数据包时发送一个互联网控制消息协议（ICMP）包，并将“destination unreachable”信息和被拒绝的元数据包打包发送给源IP地址。

接下来，打开路由器日志，查看那个路由器收到的攻击数据包最多。然后根据所记录的数据包源IP确定哪个网段的数据量最大。在这个路由器上调整路由器针对这个网段为“黑洞”状态，并通过修改子网掩码的方法将这个网段隔离开。

然后再查找这个网段的所有者的信息，联系你的ISP以及数据发送网段的ISP，将攻击情况汇报给他们，并请求协助。不论他们是否愿意帮忙，无非是一个电话的问题。

接下来为了让服务和合法流量通过，你可以将其他一些攻击情况较轻的路由器恢复正常，只保留承受攻击最重的那个路由器，并拒绝攻击源最大的网段。如果你的ISP和对方ISP很负责的帮你阻挡了攻击数据包，你的网络将很快恢复正常。

结束语

DDoS攻击很狡猾，也很难预防，但是你可以通过以上方式及时减轻这种攻击对网络的影响。面对攻击，你只需要快速地响应和正确的方法，就可以及时发现攻击数据流并将其屏蔽掉。