经验分享:如何减轻DDOS攻击危害(上)

大部分网络都很容易受到各种类型的黑客攻击，但是我们可以透过一套安全规范来最大限度的防止黑客攻击的发生。 

　　但是，分布式拒绝服务攻击（DDoS）是一个完全不同的攻击方式，你无法阻止黑客对你的网站发动DDoS攻击，除非你主动断开因特网连接。 

　　如果我们无法防止这种攻击，那么怎么做才能最大限度地保护企业网络呢？ 

　　首先你应该清楚的了解DDoS攻击的三个阶段，然后再学习如何将这种攻击的危害降到最低。 

　　理解DDoS攻击 

　　一个DDoS攻击一般分为三个阶段。第一阶段是目标确认：黑客会在因特网上锁定一个企业网络的IP地址。这个被锁定的IP地址可能代表了企业的Web服务器，DNS服务器，因特网网关等。而选择这些目标进行攻击的目的同样多种多样，比如为了赚钱（有人会付费给黑客攻击某些站点），或者只是以破坏为乐。 

　　第二个阶段是准备阶段：在这个阶段，黑客会入侵因特网上大量的没有良好防护系统的计算机（基本上就是网络上的家庭计算机，DSL宽带或有线电缆上网方式为主）。黑客会在这些计算机中植入日后攻击目标所需的工具。 

　　第三个阶段是实际攻击阶段：黑客会将攻击命令发送到所有被入侵的计算机（也就是僵尸计算机）上，并命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包，使得目标无法处理大量的数据或者频宽被占满。 

　　聪明的黑客还会让这些僵尸计算机伪造发送攻击数据包的IP地址，并且将攻击目标的IP地址插在数据包的原始地址处，这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发（即反射）给原始IP地址一个接收响应，更加重了目标主机所承受的数据流。 

　　因此，我们无法阻止这种DDoS攻击，但是知道了这种攻击的原理，我们就可以尽量减小这种攻击所带来的影响。 

　　减少攻击影响 

　　入侵过滤（Ingress filtering）是一种简单而且所有网络（ISP）都应该实施的安全策略。在你的网络边缘（比如每一个与外网直接相连的路由器），应该建立一个路由声明，将所有数据来来源IP标记为本网地址的数据包丢弃。虽然这种方式并不能防止DDoS攻击，但是却可以预防DDoS反射攻击。 

　　但是很多大型ISP好像都因为各种原因拒绝实现入侵过滤，因此我们需要其它方式来降低DDoS带来的影响。目前最有效的一个方法就是反追踪（backscatter traceback method）。