如何应对 DDos攻击

　　如何应对 DDos攻击

　　DNS系统的运维人员在日常部署时要尽量做到DNS应用的负载均衡，提升DNS服务器的处理性能，尽量将解析节点分散，能够做到按不同的IDC或城 市实现冗余和容灾机制，通过这些手段可以有效的减轻大流量DDoS攻击发生时所带来的危害。但是如上文所言，针对于如此不堪一击的DNS系统，我们未来还 能够从哪些方面出发去应对一般规模或是超大规模的DDoS攻击呢?笔者认为有如下一些解决方案可以值得尝试。

　　第一，在你的主机遭受DDoS攻击时，192.168.1.1 ，最简单的是在本机做策略，譬如iptables等，或是事先将主机kernel加固以应对随时可能出现的风险，但是这种方法不能解决DDoS的根本问题，且非常不灵活。

　　第二，若通过对流量和攻击报文分析已知DDoS攻击类型，那么也可以通过配置一些策略来减轻攻击带来的危害。譬如对DNS反射攻击的防护，首先若被攻击 的服务器并未提供DNS业务，那么可以通过设置访问控制策略直接阻断所有的DNS请求/回应;如果被攻击的服务器是DNS相关服务器，那么最有效的方法是 配置DNS服务器，只响应合法区域的查询。不过这种方法需要一定的专业知识，需要运维人员介入，同样是不灵活的。

　　第三，提供充足的带宽 和性能很强的DNS服务器，也就是俗称的“堆机器，拼资源”，不过这种方法也如同饮鸩止渴，期望“魔高一尺，道高一丈”是不太现实的。不过建议管理人员还 是需要对DNS服务器的上联链路的负载情况及时做好监控，避免因链路拥塞导致丢包的情况出现，同时还是需要在物理带宽上投入一定的资源以防止上联链路拥 塞。

　　第四，在互联网的核心路由入口侧部署专业的DDoS流量检测设备和DDos流量清洗设备，通过DDoS检测设备与清洗设备之间进行 的策略联动，及时对恶意的攻击行为进行发现、清洗、阻断，这也是当下较为为业界所认可的防护方案。通过DNS协议的自身特点，依托Intel、 Tilera和Cavium等高效的硬件平台，开发专门针对DDoS流量清洗的系统。这里可以构建专用的DNS防护算法，如DNS QUERY FLOOD防护算法、DNS反射攻击防护等，用于从根本上过滤掉攻击流量。

　　但对于大量的中小网站、企业而言，花费重金购买防护资源是不现实的，不过现在随着互联网云技术的发展，很多大型互联网公司都提供了云主机服务，如腾讯云，阿里云等，并且免费提供专业的DDoS检测、清洗防护功能， 如果广大业务运营者担心自己的业务或主机会遭受到DDoS攻击，选择现有的云服务也不失为一种有效的解决方案。

　　除了上述提到的几种解决 方案，还有一些业界比较成熟的方案值得我们借鉴。比如CloudFlare公司采用的Anycast技术，该技术基于IP路由原理实现了自动流量负载均衡，在发生DDoS攻击时，这种技术能够有效的将攻击流量分流到不同区域的防护节点，进行流量清洗。该方案已经成功的在用户环境中部署。