如何处理DDoS攻击

DDoS攻击简述

DDoS是分布式拒绝服务（Distributed Denial of Service）的英文缩写，其攻击方式通常是利用很多受攻击者控制的“僵尸主机”向目标主机发送大量看似合法的数据包，从而造成主机资源被耗尽或网络被堵塞，导致主机无法继续正常提供服务。DDoS通常可以分为两类，即资源耗费式攻击和流量淹没式攻击。发生资源耗费式攻击时，主机运行速度变得非常缓慢，但是在执行ping命令的时候还可以获得响应；在一些极端的情况下，也可能出现主机资源被完全耗尽从而无法响应ping命令的情况，这时我们可以通过测试连接在同一网段上的主机是否正常来判断有否资源耗尽式攻击发生。而流量淹没式攻击的主要表征是通往主机的线路完全无法访问，而主机可能仍未失去响应。在受到DDoS攻击的网络上充斥着海量的无用数据包、被攻击的主机上有大量等待处理的TCP连接等都是DDoS攻击发生的常见现象。

1． 有所准备

对于可能或经常遭受DDoS攻击的主机，应该事先拟定针对DDoS攻击事件的响应方法，有备不乱，尽量减低DDoS攻击造成的损失和慌乱。而且在发生DDoS攻击的时候，时间是最宝贵的，能否在受攻击对象崩溃之前阻止攻击行为有赖于响应速度的快慢。如果有专门的安全响应部门，应该对所有部门的人员开展足够的相关教育，增强安全意识，争取尽早的发现攻击行为并施行正确的措施。

2． 查明情况

发生DDoS攻击之后，我们首先要做的就是查清攻击的性质、类型和所利用的手段，了解了这些才能有的放矢，开展进一步的工作。在发现大量不正常的数据包之后就应该立即阅读相关的日志、监控网络状态、检查相关设备情况，以期判断不正常现象是否由DDoS攻击行为所造成。如果在检查过程中发现主要现象是TCP栈里堆积了大量未被处理的SYN连接，我们就可以初步判断主机可能受到了SYN Flood攻击。另外我们还应该检查攻击数据包的目标是主机的哪些端口，明确了被打击点之后我们才能组织防御行为。

3． 坚持就是胜利

要想尽一切办法保证主机的存活，为我们的反击争取时间。如果在主机和Internet链路之前存在着路由器、防火墙等网络设备，我们可以在这些设备上实施一些防御手段，延缓攻击数据包的到达。例如临时对数据包的源地址进行屏蔽处理或者进行特殊的路由处理等等。另外我们也可以将受攻击的服务转换到其它端口上，以暂时避开DDoS攻击数据包。由于攻击者在攻击的同时也在不断监视目标的情况和动向，所以通常我们所采取的措施只能在短时间内发挥作用，我们还必须根据攻击者的行为不断的进行调整，从这一方面也可以看出有效的防御和充分的准备以及对攻击情况的掌握有很大的关系。

4． 阻止攻击

在进行种种防御措施的同时，我们应该尽快和网络的上游（通常是当地的ISP以及主机的托管商）进行联系，请他们协助过滤攻击数据，并同时向负责信息事务的公安机关报案。因为不同部门处理事件的方式和效率都不同，所以尽量在事前与所有相关机构达成良好的共识，协调好处理方式。如果我们在检查日志时发现攻击数据来自真实的IP，我们还应该立即联系相关IP的负责机构及负责人，积极的与对方沟通并协同行动，对攻击行为进行处理。

综述

    目前对于DDoS攻击来说，并不存在完美的解决方案。由于进行DDoS攻击需要组织的资源往往较大，我们应该在条件允许的情况下尽可能地增强防御强度，使攻击成本超过攻击收益，这是对攻击者最大的打击和威慑。对于使用网络的每一个人，都应该负起自己的责任，只有通过共同的努力，才能维护起网络的正常秩序。

本文转自 离子翼 51CTO博客，原文链接：http://blog.51cto.com/ionwing/57289，如需转载请自行联系原作者