DDos攻擊的主要目的是讓指定目標(biāo)無法提供正常服務(wù)，甚至從互聯(lián)網(wǎng)上消失，是目前最強(qiáng)大、最難防御的攻擊之一。今天我們就來聊聊關(guān)于防DDos攻擊的策略，做好ddos的防護(hù)措施在遇到攻擊的時(shí)候能更好地減少損失。

　　防DDos攻擊的策略

　　在探討 DDoS 之前我們需要先對(duì) DoS 有所了解，DoS泛指黑客試圖妨礙正常使用者使用網(wǎng)絡(luò)上的服務(wù)，例如剪斷大樓的電話線路造成用戶無法通話。而以網(wǎng)絡(luò)來說，由于頻寬、網(wǎng)絡(luò)設(shè)備和服務(wù)器主機(jī)等處理的能力都有其限制，因此當(dāng)黑客產(chǎn)生過量的網(wǎng)絡(luò)封包使得設(shè)備處理不及，即可讓正常的使用者無法正常使用該服務(wù)。例如黑客試圖用大量封包攻擊一般頻寬相對(duì)小得多的撥接或 ADSL 使用者，則受害者就會(huì)發(fā)現(xiàn)他要連的網(wǎng)站連不上或是反應(yīng)十分緩慢。

　　DoS 攻擊并非入侵主機(jī)也不能竊取機(jī)器上的資料，但是一樣會(huì)造成攻擊目標(biāo)的傷害，如果攻擊目標(biāo)是個(gè)電子商務(wù)網(wǎng)站就會(huì)造成顧客無法到該網(wǎng)站購物。DDoS 則是 DoS 的特例，黑客利用多臺(tái)機(jī)器同時(shí)攻擊來達(dá)到妨礙正常使用者使用服務(wù)的目的。黑客預(yù)先入侵大量主機(jī)以后，在被害主機(jī)上安裝 DDoS 攻擊程控被害主機(jī)對(duì)攻擊目標(biāo)展開攻擊；有些 DDoS 工具采用多層次的架構(gòu)，甚至可以一次控制高達(dá)上千臺(tái)電腦展開攻擊，利用這樣的方式可以有效產(chǎn)生極大的網(wǎng)絡(luò)流量以癱瘓攻擊目標(biāo)。早在2000年就發(fā)生過針對(duì)Yahoo, eBay, Buy 和 CNN 等知名網(wǎng)站的DDoS攻擊，阻止了合法的網(wǎng)絡(luò)流量長達(dá)數(shù)個(gè)小時(shí)。

　　DDoS 攻擊程序的分類，可以依照幾種方式分類，以自動(dòng)化程度可分為手動(dòng)、半自動(dòng)與自動(dòng)攻擊。早期的 DDoS 攻擊程序多半屬于手動(dòng)攻擊，黑客手動(dòng)尋找可入侵的計(jì)算機(jī)入侵并植入攻擊程序，再下指令攻擊目標(biāo)；半自動(dòng)的攻擊程序則多半具有 handler 控制攻擊用的agent 程序，黑客散布自動(dòng)化的入侵工具植入 agent 程序，然后使用 handler 控制所有agents 對(duì)目標(biāo)發(fā)動(dòng) DDoS 攻擊；自動(dòng)攻擊更進(jìn)一步自動(dòng)化整個(gè)攻擊程序，將攻擊的目標(biāo)、時(shí)間和方式都事先寫在攻擊程序里，黑客散布攻擊程序以后就會(huì)自動(dòng)掃描可入侵的主機(jī)植入 agent 并在預(yù)定的時(shí)間對(duì)指定目標(biāo)發(fā)起攻擊，例如近期的 W32/Blaster 網(wǎng)蟲即屬于此類。

　　如何從DDoS攻擊下存活？

　　那么當(dāng)遭受 DDoS 攻擊的時(shí)候要如何設(shè)法存活并繼續(xù)提供正常服務(wù)呢？由先前的介紹可以知道，若黑客攻擊規(guī)模遠(yuǎn)高于你的網(wǎng)絡(luò)頻寬、設(shè)備或主機(jī)所能處理的能力，其實(shí)是很難以抵抗攻擊的，但仍然有一些方法可以減輕攻擊所造成的影響。

　　首先是調(diào)查攻擊來源，由于黑客經(jīng)由入侵機(jī)器進(jìn)行攻擊，因此你可能無法查出黑客是由哪里發(fā)動(dòng)攻擊，我們必須一步一步從被攻擊目標(biāo)往回推，先調(diào)查攻擊是由管轄網(wǎng)絡(luò)的哪些邊界路由器進(jìn)來，上一步是外界哪臺(tái)路由器，連絡(luò)這些路由器的管理者(可能是某個(gè)ISP或電信公司)并尋求他們協(xié)助阻擋或查出攻擊來源，而在他們處理之前可以進(jìn)行哪些處理呢?

　　如果被攻擊的目標(biāo)只是單一 ip，那么試圖改個(gè) ip 并更改其 DNS mapping 或許可以避開攻擊，這是最快速而有效的方式；但是攻擊的目的就是要使正常使用者無法使用服務(wù)，更改ip的方式雖然避開攻擊，以另一角度來看黑客也達(dá)到了他的目的。此外，如果攻擊的手法較為單純，可以由產(chǎn)生的流量找出其規(guī)則，那么利用路由器的 ACLs(Access Control Lists)或防火墻規(guī)則也許可以阻擋，若可以發(fā)現(xiàn)流量都是來自同一來源或核心路由器，可以考慮暫時(shí)將那邊的流量擋起來，當(dāng)然這還是有可能將正常和異常的流量都一并擋掉，但至少其它來源可以得到正常的服務(wù)，這有時(shí)是不得已的犧牲。如果行有余力，則可以考慮增加機(jī)器或頻寬作為被攻擊的緩沖之用，但這只是治標(biāo)不治本的做法。最重要的是必須立即著手調(diào)查并與相關(guān)單位協(xié)調(diào)解決。

　　防DDos攻擊的策略必須透過網(wǎng)絡(luò)上各個(gè)團(tuán)體和使用者的共同合作，制定更嚴(yán)格的網(wǎng)絡(luò)標(biāo)準(zhǔn)來解決。隨時(shí)注意系統(tǒng)安全，避免被黑客和自動(dòng)化的DDoS植入攻擊程序，以免成為黑客攻擊的幫兇。ddos雖然沒辦法完全控制但是能最大程度減少損失。