DDoS攻擊利用了Internet的開放性及其將數據包從幾乎任何來源傳送到任何目的地的優(yōu)勢。使DDoS攻擊成為如此挑戰(zhàn)的原因是非法數據包與合法數據包幾乎無法區(qū)分。典型的DDoS攻擊類型包括帶寬攻擊和應用程序攻擊。

在帶寬攻擊中，網絡資源或設備被大量數據包消耗。通過應用程序攻擊，TCP 或 HTTP 資源無法處理事務或請求。那么DDoS如何防御？

我們可以采用以下多種方法來抵御DDoS攻擊：

1、黑洞或沉洞：這種方法會阻止所有流量并將其轉移到黑洞，并在那里被丟棄。缺點是所有流量都將被丟棄，無論是好的還是壞的并且目標業(yè)務會離線。同樣，數據包過濾和速率限制措施只是簡單地關閉一切，拒絕合法用戶訪問。

2、路由器和防火墻：路由器可以配置為通過過濾非必要協(xié)議來阻止簡單的ping攻擊，也可以阻止無效的ip地址。但是，路由器通常無法有效抵御更復雜的欺騙攻擊和使用有效ip地址的應用程序級攻擊。防火墻可以關閉與攻擊相關的特定流量，但與路由器一樣，它們不能執(zhí)行反欺騙。

3、入侵檢測系統(tǒng)：IDS解決方案將提供一些異常檢測功能，因此它們將識別有效協(xié)議何時被用作攻擊工具。它們可以與防火墻結合使用以自動阻止流量。不利的一面是，它們不是自動化的，因此需要安全專家手動調整，而且它們經常會產生誤報。

4、服務器：正確配置服務器應用程序對于最大限度地減少DDoS攻擊的影響至關重要。管理員可以明確定義應用程序可以使用哪些資源以及它將如何響應來自客戶端的請求。結合DDoS緩解設備，優(yōu)化的服務器有機會通過DDoS攻擊繼續(xù)運行。

5、DDoS緩解設備：一些公司要么制造專門用于凈化流量的設備，要么將DDoS緩解功能構建到主要用于負載平衡或防火墻等其他功能的設備中，這些設備具有不同程度的有效性。沒有一個是完美的。一些合法流量將被丟棄，一些非法流量將到達服務器。服務器基礎設施必須足夠強大以處理此流量并繼續(xù)為合法客戶端提供服務。

6、過度配置：或購買額外帶寬或冗余網絡設備來處理需求高峰可能是處理DDoS攻擊的有效方法。使用外包服務提供商的優(yōu)勢之一是我們可以按需購買服務，例如可在我們需要時為自己提供更多帶寬的突發(fā)電路，而不是在冗余網絡接口和設備上進行昂貴的資本投資。

大多數情況下，公司事先并不知道DDoS攻擊即將來臨。攻擊的性質通常會在中途發(fā)生變化，要求公司在幾個小時或幾天內快速、連續(xù)地做出反應。由于大多數攻擊的主要影響是消耗我們的Internet帶寬，因此服務提供商需要擁有帶寬和設備來減輕攻擊的影響。

總結：DDoS攻擊是破壞性的隱形武器，可以關閉企業(yè)。我們對互聯網的依賴不斷增長，DDoS攻擊的威脅不斷擴大。如果組織想要“一切照舊”，則需要通過警惕的DDoS緩解方法來確保運營連續(xù)性和資源可用性。