什么是DDoS攻击，如何防御DDoS攻击？

做网站的一些站长相信都会遇到DDoS攻击，可以说DDoS攻击是常见的一种网络攻击。一旦企业网站遭受DDoS攻击，都会影响波及很多的客户，损失不能说不惨重。因此许多企业对DDoS攻击恨得咬牙切齿，却很难找到解决办法。那么到底什么是DDoS攻击呢，企业又该如何预防DDoS攻击？本文主要探讨如何减小DDoS攻击的发生率和破坏力，以及如何结合使用内部和基于云的DDoS缓解控制措施，尽量减小日益复杂的DDoS攻击对企业业务造成的干扰和破坏。

什么是DDoS攻击？
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。
DDoS攻击的威胁有哪些？
DDoS攻击的破坏力很大，足以威胁到整个国家的关键基础设施，这个事实可以解释为何诸多政府部门在开始要求：必须制定DDoS缓解方案。如果企业遭遇DDoS攻击的话，对于企业来说会是一次巨大的打击。
企业如何预防DDoS攻击？
2、网络管理员们可以确保自己遵守其他最佳实践，从而加强互联网的总体安全。
比如说，他们应该熟悉国土安全部颁布的DDoS快速指南(DDoS Quick Guide)，还应该落实开放解析器项目(Open Resolver Project)等项目给予的建议。开放解析器可以回复针对域外主机的递归查询，因而用于DNS放大DDoS攻击中。该项目已列出了2800万个构成重大威胁的解析器，并提供了详细指导，教人们如何配置DNS服务器，以减小DNS放大攻击的威胁。
1、企业要想预防DDoS攻击，长期的解决办法就是加强攻击者用来发动攻击的互联网协议，并且要求升级系统，以便得益于最佳实践。
比如说，许多DDoS攻击之所以能得逞，就是因为攻击者通常借助上当受骗的源IP地址来生成流量。IETF Best Common Practices文档BCP 38建议：网络操作人员应对从下游客户进入其网络的数据包进行过滤，丢弃源地址不在其地址范围内的任何数据包。这样可以让黑客无法发送声称来自另一个网络的数据包(即欺诈攻击)。不过，按BCP 38的要求来做需要一笔支出，却没有立竿见影的效果，因而尽管有益于更广泛的社区，却没有全面实施起来。
3、与往常一样，若能确保已安装了软件的最新版本，系统不大容易受到黑客的攻击，黑客经常企图利用其资源作为DDoS攻击的一部分。
比如说，务必要更新运行BIND的DNS服务器，因为互联网系统联盟(Internet Systems Consortium)现在已将响应速率限制(RRL)添加到最佳版本中。RRL可以检测表明存在滥用现象的模式，从而有助于缓解DNS放大攻击，并减少发送回复的速率。另外务必要更新网络时间协议(NTP)服务器，因为4.2.7之前的所有版本都很容易被用于NTP放大攻击中。
4、虽然金融机构等大企业是某些攻击者眼里的明显目标，但它们至少有财力和资源来采用最新的安全技术和最佳实践。不过，资源有限的小企业仍然面临可能很强大的对手。这也是谷歌启动护盾项目(Project Shield)的原因之一：好让那些运行新闻、人权或选举方面网站的组织机构可以通过谷歌庞大的DDoS缓解基础设施来发布其内容。这种类型的计划主要旨在确保潜在的受害者有足够的资源来抵御攻击，从而消除DDoS攻击的影响。
DDoS攻击对于现在的企业来说可以说是一个极大的隐患，所以为了预防DDoS攻击需要我们大家团结起来，共同应对。全面共享DDoS缓解资源、实施行业最佳实践可能很费时间和资源，而且可能无法立即带来回报，但是互联网是个整体性的社区项目，打击DDoS攻击是大家共同的责任。