大部分網絡都很容易受到各種類型的黑客攻擊， 但是我們可以通過一套安全規范來最大限度的防止黑客攻擊的發生。 但是， 分布式拒絕服務攻擊(Ddos)是一個完全不同的攻擊方式， 你無法阻止黑客對你的網站發動ddos攻擊， 除非你主動斷開互聯網連接。

　　如果我們無法防止這種攻擊， 那么怎么做才能最大限度地保護企業網絡呢?首先你應該清楚的了解ddos攻擊的三個階段， 然后再學習如何將這種攻擊的危害降到最低。

　　理解ddos攻擊

　　一個ddos攻擊一般分為三個階段。 第一階段是目標確認：黑客會在互聯網上鎖定一個企業網絡的IP地址。 這個被鎖定的IP地址可能代表了企業的Web服務器， DNS服務器， 互聯網網關等。 而選擇這些目標進行攻擊的目的同樣多種多樣， 比如為了賺錢(有人會付費給黑客攻擊某些站點)， 或者只是以破壞為樂。

　　第二個階段是準備階段：在這個階段， 黑客會入侵互聯網上大量的沒有良好防護系統的計算機(基本上就是網絡上的家庭計算機， DSL寬帶或有線電纜上網方式為主)。 黑客會在這些計算機中植入日后攻擊目標所需的工具。

　　第三個階段是實際攻擊階段：黑客會將攻擊命令發送到所有被入侵的計算機(也就是僵尸計算機)上， 并命令這些計算機利用預先植入的攻擊工具不斷向攻擊目標發送數據包， 使得目標無法處理大量的數據或者頻寬被占滿。

　　聰明的黑客還會讓這些僵尸計算機偽造發送攻擊數據包的IP地址， 并且將攻擊目標的IP地址插在數據包的原始地址處， 這就是所謂的反射攻擊。 服務器或路由器看到這些資料包后會轉發(即反射)給原始IP地址一個接收響應， 更加重了目標主機所承受的數據流。

　　因此， 我們無法阻止這種ddos攻擊， 但是知道了這種攻擊的原理， 我們就可以盡量減小這種攻擊所帶來的影響。

　　減少攻擊影響

　　入侵過濾(Ingressfiltering)是一種簡單而且所有網絡(ISP)都應該實施的安全策略。 在你的網絡邊緣(比如每一個與外網直接相連的路由器)， 應該建立一個路由聲明， 將所有數據來來源IP標記為本網地址的數據包丟棄。 雖然這種方式并不能防止Ddos攻擊， 但是卻可以預防ddos反射攻擊。

　　減輕ddos攻擊危害

　　但是很多大型ISP好像都因為各種原因拒絕實現入侵過濾， 因此我們需要其它方式來降低ddos帶來的影響。 目前最有效的一個方法就是反追蹤(backscattertracebackmethod)。

　　要采用這種方式， 首先應該確定目前所遭受的是外部Ddos攻擊， 而不是來自內網或者路由問題。 接下來就要盡快在全部邊緣路由器的外部接口上進行配置， 拒絕所有流向ddos攻擊目標的數據流。

　　另外， 還要在這些邊緣路由器端口上進行配置， 將全部無效或無法定位的數據來源IP的數據包丟棄。 比如以下地址：

　　10.0.0.0 - 10.255.255.255

　　172.16.0.0 - 172.31.255.255

　　192.168.0.0 - 192.168.255.255

　　將路由器設置為拒絕這些資料包后， 路由器會在每次拒絕數據包時發送一個因特網控制訊息協議(ICMP)包， 并將"destinationunreachable"信息和被拒絕的數據包打包發送給來源IP地址。

　　接下來， 打開路由器日志， 查看那個路由器收到的攻擊資料包最多。 然后根據所記錄的數據包來源IP確定哪個網段的資料量最大。 在這個路由器上調整路由器針對這個網段為“黑洞”狀態， 并藉由修改子網掩碼的方法將這個網段隔離開。

　　然后再尋找這個網段的所有者的信息， 聯系你的ISP以及數據發送網段的ISP， 將攻擊情況匯報給他們， 并請求協助。 不論他們是否愿意幫忙， 無非是一個電話的問題。

　　接下來為了讓服務和合法流量通過， 你可以將其它一些攻擊情況較輕的路由器恢復正常， 只保留承受攻擊最重的那個路由器， 并拒絕攻擊來源最大的網段。 如果你的ISP和對方ISP很負責的協助阻擋攻擊數據包， 你的網絡將很快恢復正常。

　　結語

　　ddos攻擊很狡猾， 也很難預防， 但是你可以借由以上方式及時減輕這種攻擊對網絡的影響。 面對攻擊， 你只需要快速地響應和正確的方法， 就可以及時發現攻擊數據流并將其擋掉。