如何最大限度地減少DDOS攻擊的危害

如何最大限度地保護企業伺服器？如果我們無法阻止這種攻擊，可以采取哪些措施？分布式拒絕服務（DDoS）是一種完全不同的攻擊，你阻止不了黑客對你這麼做，除非您主動斷開與網際網路的連接配接，否則它會對你的網站發起DDoS攻擊。然後我們必須首先了解DDoS攻擊的三個階段：

第一階段是目标确認：黑客将鎖定Internet上公司網絡的IP位址。這個鎖定的IP位址可能代表企業的網絡伺服器，DNS伺服器，網際網路網關等。選擇這些攻擊目标的目的也是多種多樣的，例如賺錢（有人會為黑客攻擊某些網站付費），或者是為了打破樂趣。

第二階段是準備階段：在這個階段，黑客将入侵網際網路上的大量計算機而沒有良好的保護系統（基本上是網絡上的家用計算機，NDSL寬帶或有線電纜是主要方法），黑客将在未來植入所需的工具。

第三階段是實際攻擊階段：黑客将攻擊指令發送給所有受到攻擊的計算機（即僵屍計算機），并指令計算機使用預先植入的攻擊工具連續向攻擊目标發送資料包，使得目标無法處理大量資料或帶寬被占滿。

聰明的黑客還會讓這些僵屍計算機欺騙攻擊資料包的IP位址，并将攻擊目标的IP位址插入資料包的原始位址。這稱為反射攻擊。在伺服器或路由器看到這些資料包之後，它會将收到的響應轉發（即反映）到原始IP位址，這将進一步增加到目标主機的資料流。是以，我們無法阻止這種DDoS攻擊，但是知道這種攻擊的原理，我們可以最大限度地減少這種攻擊的影響。

減少攻擊影響

入侵過濾是一種簡單的安全政策，所有網絡（ISP）都應該實作。在網絡邊緣（例如直接連接配接到外部網絡的每個路由器），應建立路由聲明，以丢棄具有此網絡位址的源IP标記的所有資料包。雖然這種方法不能防止DDoS攻擊，但它可以預防DDoS反射攻擊。

減輕DDoS攻擊危害

但是很多大型ISP好像都因為各種原因拒絕實作入侵過濾,是以我們需要其它方式來降低DDoS帶來的影響。目前最有效的一個方法就是反追蹤(backscattertraceback method)。

要采用這種方式,首先應該确定目前所遭受的是外部DDoS攻擊,而不是來自内網或者路由問題。接下來就要盡快在全部邊緣路由器的外部接口上進行配置,拒絕所有流向DDoS攻擊目标的資料流。

将 路由器設定為拒絕這些資料包後,路由器會在每次拒絕資料包時發送一個網際網路控制訊息協定(ICMP)包,并将"destinationunreachable"資訊和被拒絕的資料包打包發送給來源IP位址。接下來,打開路由器日志,檢視那個路由器收到的攻擊資料包最多。然後根據所記錄的資料包來源IP确定哪個網段的資料量最大。在這個路由器上調整路由器針對這個網段為“黑洞”狀态,并藉由修改子網路遮罩的方法将這個網段隔離開。然後再尋找這個網段的所有者的資訊,聯系你的ISP以及資料發送網段的ISP,将攻擊情況彙報給他們,并請求協助。不論他們是否願意幫忙,無非是一個電話的問題。接下來為了讓服務和合法流量通過,你可以将其它一些攻擊情況較輕的路由器恢複正常,隻保留承受攻擊最重的那個路由器,并拒絕攻擊來源最大的網段。如果你的ISP和對方ISP很負責的協助阻擋攻擊資料包,你的伺服器你的網絡将很快恢複正常。