DDOS攻击的解决方法

 DDOS攻击的解决方法

以目前的状况来看，DDoS攻击由于攻击简单、容易达到目的、难于防止和追查，所以这种攻击方式越来越成为常见的攻击方式。

DDOS攻击如果按照攻击方式来分可以分为：资源消耗、服务中止和物理破坏。这些攻击方式危害性都是十分巨大的。

一般来说，DDoS攻击通过Internet上那些“僵尸”系统完成，这也是最常见的方式之一。

由于大量个人电脑联入Internet，且防护措施非常少，所以这点极易被黑客利用，只要植入某些代码，这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时，只需要同时向这些将僵尸机发送某些命令，就可以由这些“僵尸”机器完成攻击。随着Botnet的发展，DDoS造成的攻击流量的规模可以非常惊人，会给应用系统或是网络本身带来非常大的负载消耗，这点千万不可小视。

既然DDOS破坏性这么厉害，那我们怎么来防护呢？

1.手工防护

一般而言手工方式防护DDoS主要通过两种形式：

系统优化：主要通过优化被攻击系统的核心参数，提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护，当黑客提高攻击的流量时，这种防护方法就无计可施了。

网络追查：遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商，这有可能是ISP、IDC等，目的就是为了弄清楚攻击源头。但是如果DDoS攻击流量的地址是伪造的，那么寻找其攻击源头的过程往往涉及很多运营商以及司法机关。再者，即使已经确定了攻击源头，进而对其流量进行阻断，也会造成相应正常流量的丢失。加之目前Botnet以及新型DrDoS攻击的存在，所以通过网络追查来防护DDoS攻击的方法没有任何实际意义。

2.避让策略

为了抵抗DDoS 攻击，客户可能会通过购买冗余硬件的方式来提高系统抗DDoS的能力。但是这种退让策略的效果并不好，一方面由于这种方式的性价比过低，另一方面，黑客提高攻击流量之后，这种方法往往失效，所以不能从根本意义上防护DDoS攻击。

3.路由器

通过路由器，我们确实可以实施某些安全措施，比如ACL等，这些措施从某种程度上确实可以过滤掉非法流量。一般来说，ACL可以基于协议或源地址进行设置，但是目前众多的DDoS攻击采用的是常用的一些合法协议，比如http协议，这种情况下，路由器就无法对这样的流量进行过滤。同时，如果DDoS攻击采用地址欺骗的技术伪造数据包，那么路由器也无法对这种攻击进行有效防范，这样黑客就很容易地过了路由器这一关。

4.防火墙

防火墙几乎是最常用的安全产品，但是防火墙设计原理中并没有考虑针对DDoS攻击的防护，在某些情况下，防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务，这是要读者朋友引起注意的地方。

本课主题：DDOS攻击的解决方法