也許很多人還沒有注意到據 Arbor Network 統計， 2008 年僵尸網絡的拒絕服務攻擊超越了每秒 40GB 限度。 這也就是說， 當前的僵尸網絡的攻擊規模已經達到一個僵尸網絡有 190 萬臺僵尸電腦的水平， 而僵尸網絡的拒絕服務攻擊是最難防御的攻擊之一。 因此， 這也是拒絕服務攻擊成為勒索者試圖把在線商家作為人質獲取贖金的常用手段的原因。 這對于犯罪分子來說是一筆大買賣， 而且這個生意很興隆。

下面這種情況就很常見：犯罪分子利用一個僵尸網絡大軍滲透和消除對于你有價值的服務。 攻擊目標的范圍包括僅用一個拒絕服務攻擊使你一臺重要服務器達到飽和或者使你互聯網連接達到飽和， 有效地中斷你全部互聯網服務。 某些情況下， 這些壞蛋首先發起攻擊， 中斷網絡服務， 然后要求支付贖金。 有時候， 這些壞蛋僅僅發出贖金的要求， 并且威脅說如果不在某日之前滿足他要求， 將中斷攻擊目標的網站。

當然， 這些可能對我來說已經不是什么新鮮事了但是如果你遭到過僵尸網絡的拒絕服務攻擊或者遭到過多次這種攻擊， 否想過你和你公司應該采取什么措施嗎 ? 如何準備應對這種類型的攻擊 ? 許多公司 ( 包括大企業和小企業 ) 都這樣對待這個問題， 解釋說 “ 沒有黑客要的東西 ” 或者 “ 小目標， 不值得這樣麻煩 ” 某些情況下， 這種事情是非常真實的就是拒絕服務攻擊的風險不值得平安投資。 但是許多情況下， 這種想法是一種危險的錯誤。 這種風險實際上比想象的要大。 如果我從一個壞蛋的角度考慮這個問題， 追求一二樣東西， 金錢或者名譽。 如果你能夠提供其中任何一樣東西， 就有機會成為攻擊目標。

因此， 現在就來解決這個問題。 如何能夠打敗一個僵尸網絡的拒絕服務攻擊 ? 這個答案取決于你遇到拒絕服務攻擊的類型、網絡基礎設施、擁有的平安工具和其它變量。 盡管在獨特的環境中你如何防御拒絕服務攻擊有許多變量， 但是強調一些最流行的戰略是有價值的

下面是打敗拒絕服務攻擊的一些技巧。 其中有些方法過去在防御拒絕服務攻擊中取得了勝利。 有些方法是全新的但是提供了一種非常令人心動的解決方案。

由 ISP 提供的拒絕服務攻擊防御產品或者拒絕服務攻擊服務

這種防御戰略是通常是最有效的當然也是最昂貴的許多 ISP 互聯網服務提供商 ) 為你互聯網鏈路提供某種方式的云計算拒絕服務攻擊維護。 這個想法是 ISP 允許通訊進入你互聯網線路之前先清理你通訊。 由于這種防御是云計算中完成的互聯網鏈路不會被拒絕服務攻擊阻塞。 不被阻塞至少是這個防御的目標。 再說一次， 沒有一勞永逸的高明方法。 這種服務也可以由第三方在云計算拒絕服務攻擊防御服務中提供。 發生拒絕服務攻擊時， 把你通訊轉移到那里。 清理你通訊然后再把這些通訊發回給你這一切都是云計算中發生的因此， 互聯網線路不會被阻塞。 ISP 提供的拒絕服務攻擊服務的例子包括 AT&T 互聯網維護服務和 Verizon Busi 提供的拒絕服務攻擊防御減輕服務。

RFC3704 過濾

基本的訪問控制列表 ( ACL 過濾器。 RFC3704 主要前提是數據包應該來自于合法的分配的地址段、與結構和空間分配一致。 要達到這個目的有一個全部沒有使用的或者保存的 IP 地址的列表。 這些地址是從互聯網中永遠看不到如果你確實看到這些地址， 那么， 肯定是一個欺騙的源 IP 地址， 應該丟棄。 這個列表的名稱是 Bogon 列表， 應該咨詢一下你 ISP 看他否能在這個欺騙的通訊進入你互聯網鏈路之前在云計算中為你管理這種過濾。 Bogon 列表大約每個月修改一次。 因此， 如果 ISP 沒有為你做這個事情， 那么， 必需自己管理你 Bogon 訪問控制列表規則 ( 或者找另一家 ISP

黑洞過濾

這是一個非常有效的罕見的技術。 一般來說， 這需要與你 ISP 一起做。 RTBH 遠程觸發黑洞 ) 過濾是一種能夠提供在不理想的通訊進入一個保護的網絡之前放棄這種通訊的能力的技術。 這種技術使用 BGP 邊境網關協議 ) 主機路由把發往受害者服務器的通訊轉接到下一跳的一個 null0 接口。 RTBH 有許多變體， 但是其中一個變態值得特別關注。 與你 ISP 一起試試 RTBH 過濾， 讓他為你云計算中放棄那種通訊， 從而防止拒絕服務攻擊進入你通訊線路。

思科 IPS 7.0 源 IP 聲譽過濾

思科最近發布了 IPS 7.0 代碼更新。 這個升級包括一個名為全球關聯的功能。 簡言之， 全球關聯功能檢查它看到每一個源 IP 地址的聲譽得分。 如果這個來源的聲譽不好， 入侵防御系統 ( IPS 傳感器就可以放棄這個通訊或者提高一個點擊的風險級別值。 下面是思科對全球關聯功能的解釋：

IPS 7.0 包括一個名為 “ 思科全球關聯 ” 新的平安功能。 這個功能利用了過去的許多年里收集的大量的平安情報。 思科 IPS 將定期從思科 SensorBas 網絡接收威脅更新信息。 這個更新的信息包括互聯網上已知的威脅的詳細信息， 包括連續攻擊者、僵尸網絡收獲者、惡意迸發和黑網 ( dark net 等。 IPS 使用這個信息在惡意攻擊者有機會攻擊重要資產之前過濾掉這些攻擊者。 IPS 然后把全球威脅數據結合到自己的系統中以便更早地檢測和防御惡意活動。

當然， 可以設置全球關聯， 這樣的話， 傳感器就能夠知道有惡意活動聲譽的網絡設備， 并且能夠對這種設備采取行動。

思科調整 SensorBas 方法之一是接收來自思科 7.0 IPS 傳感器的信息。 企業可以選擇使用這個順序， 也可以選擇不適用這個程序。 思科 IPS 使用的 SensorBas 有不同的威脅種類。 其中兩種是僵尸網絡收獲者和以前的拒絕服務攻擊實施者。 因此， 當你遭到僵尸網絡拒絕服務攻擊的時候， 這個傳感器將放棄所有的來至聲譽不良的來源的通訊。 這個過程在使用這種特征之前就開始了對于傳感器資源 ( 處置器、背板等 ) 來說是非常廉價的這使它成為在拒絕服務攻擊期間使用的一個理想的方法。 這也是思科 IPS 處置 IPS 特征之前檢查 SensorBas 原因。

許多僵尸網絡拒絕服務攻擊使用通向你網絡服務器的 SSL 平安套接字層 ) 這有助于攻擊者隱藏其負載， 防止你可能擁有的檢測引擎的檢查。 然而， 考慮到全球關聯僅使用源 IP 地址的聲譽得分做出決定， 防御 SSL 分布式拒絕服務攻擊是沒有問題的沒有任何其它廠商為自己的 IPS 解決方案增加基于聲譽的檢查功能， 因此， 不能防御任何形式的 SSL 分布式拒絕服務攻擊。 一些 IPS 廠商確實能夠能通過解密傳輸中的數據打開和查看 SSL 數據包內部。 然而， 這個過程在 IPS 資源 ( 處置器、背板、內存等 ) 方面太昂貴， 不能用于分布式拒絕服務攻擊。 會迅速消除傳感器自身的通訊瓶頸。

當然， 如果這個分布式拒絕服務攻擊阻塞了鏈路， 這個戰略可能就不起作用。 但是如果分布式拒絕服務攻擊僅僅阻塞了局部服務器， 而沒有阻塞整個網絡， 那就標明這個防御措施的作用很好。 全球關聯不是一個妙方， 而是工具箱中的另一個工具。

IP 源防護

這個問題不是五大主要問題的一部分， 不過， 這個問題仍然值得一提。 這個技巧是打開你交換機中的 IP 源防護功能。 這個功能可以阻止主機在變成僵尸電腦的時候發出欺騙性的數據包。 這不是一個防御工具， 而是一個守法公民工具， 盡管它能夠阻止內部的欺騙性的分布式拒絕服務攻擊。 如果每一家公司都打開 IP 源防護功能， 就能夠協助減少我遇到欺騙性分布式拒絕服務攻擊的數量。 啟用 IP 源防護功能的一項增加的好處是能夠協助你找到網絡中已經成為僵尸網絡一部分的主機。 當這個惡意軟件發動欺騙性攻擊的時候， 這個交換機端口能夠自動鎖死， 并且向你平安監視站點演講這個事件。 或者你演講這個事件并且堅持打開這個端口， 但是除了真正的 IP 地址源通訊之外， 放棄所有的通訊。