DDoS攻擊利用了Internet的開放性及其將數(shù)據(jù)包從幾乎任何來源傳送到任何目的地的優(yōu)勢。使DDoS攻擊成為如此挑戰(zhàn)的原因是非法數(shù)據(jù)包與合法數(shù)據(jù)包幾乎無法區(qū)分。典型的DDoS攻擊類型包括帶寬攻擊和應(yīng)用程序攻擊。

在帶寬攻擊中，網(wǎng)絡(luò)資源或設(shè)備被大量數(shù)據(jù)包消耗。通過應(yīng)用程序攻擊，TCP 或 HTTP 資源無法處理事務(wù)或請求。那么DDoS如何防御？

我們可以采用以下多種方法來抵御DDoS攻擊：

1、黑洞或沉洞：這種方法會阻止所有流量并將其轉(zhuǎn)移到黑洞，并在那里被丟棄。缺點是所有流量都將被丟棄，無論是好的還是壞的并且目標(biāo)業(yè)務(wù)會離線。同樣，數(shù)據(jù)包過濾和速率限制措施只是簡單地關(guān)閉一切，拒絕合法用戶訪問。

2、路由器和防火墻：路由器可以配置為通過過濾非必要協(xié)議來阻止簡單的ping攻擊，也可以阻止無效的ip地址。但是，路由器通常無法有效抵御更復(fù)雜的欺騙攻擊和使用有效ip地址的應(yīng)用程序級攻擊。防火墻可以關(guān)閉與攻擊相關(guān)的特定流量，但與路由器一樣，它們不能執(zhí)行反欺騙。

3、入侵檢測系統(tǒng)：IDS解決方案將提供一些異常檢測功能，因此它們將識別有效協(xié)議何時被用作攻擊工具。它們可以與防火墻結(jié)合使用以自動阻止流量。不利的一面是，它們不是自動化的，因此需要安全專家手動調(diào)整，而且它們經(jīng)常會產(chǎn)生誤報。

4、服務(wù)器：正確配置服務(wù)器應(yīng)用程序?qū)τ谧畲笙薅鹊販p少DDoS攻擊的影響至關(guān)重要。管理員可以明確定義應(yīng)用程序可以使用哪些資源以及它將如何響應(yīng)來自客戶端的請求。結(jié)合DDoS緩解設(shè)備，優(yōu)化的服務(wù)器有機會通過DDoS攻擊繼續(xù)運行。

5、DDoS緩解設(shè)備：一些公司要么制造專門用于凈化流量的設(shè)備，要么將DDoS緩解功能構(gòu)建到主要用于負載平衡或防火墻等其他功能的設(shè)備中，這些設(shè)備具有不同程度的有效性。沒有一個是完美的。一些合法流量將被丟棄，一些非法流量將到達服務(wù)器。服務(wù)器基礎(chǔ)設(shè)施必須足夠強大以處理此流量并繼續(xù)為合法客戶端提供服務(wù)。

6、過度配置：或購買額外帶寬或冗余網(wǎng)絡(luò)設(shè)備來處理需求高峰可能是處理DDoS攻擊的有效方法。使用外包服務(wù)提供商的優(yōu)勢之一是我們可以按需購買服務(wù)，例如可在我們需要時為自己提供更多帶寬的突發(fā)電路，而不是在冗余網(wǎng)絡(luò)接口和設(shè)備上進行昂貴的資本投資。

大多數(shù)情況下，公司事先并不知道DDoS攻擊即將來臨。攻擊的性質(zhì)通常會在中途發(fā)生變化，要求公司在幾個小時或幾天內(nèi)快速、連續(xù)地做出反應(yīng)。由于大多數(shù)攻擊的主要影響是消耗我們的Internet帶寬，因此服務(wù)提供商需要擁有帶寬和設(shè)備來減輕攻擊的影響。

總結(jié)：DDoS攻擊是破壞性的隱形武器，可以關(guān)閉企業(yè)。我們對互聯(lián)網(wǎng)的依賴不斷增長，DDoS攻擊的威脅不斷擴大。如果組織想要“一切照舊”，則需要通過警惕的DDoS緩解方法來確保運營連續(xù)性和資源可用性。