分布式拒絕服務(wù)攻擊甚至可以使結(jié)構(gòu)最完善的網(wǎng)絡(luò)癱瘓數(shù)天，造成數(shù)百萬美元的銷售損失，凍結(jié)在線服務(wù)并損害公司的聲譽。當(dāng) SCO Group Inc. 與 Mydoom.B 蠕蟲對其網(wǎng)站的攻擊作斗爭時，最廣泛報道的 DDoS 攻擊之一就發(fā)起了。但是 DDoS 攻擊對于任何行業(yè)的任何規(guī)模的企業(yè)來說都是一個問題。根據(jù) 2003 年 CSI/FBI 計算機犯罪和安全調(diào)查，DDoS 攻擊是成本第二高的網(wǎng)絡(luò)犯罪，也是 2003 年唯一增加的。

互聯(lián)網(wǎng)可能是一個危險的地方，DDoS 攻擊正在成為黑客、政治活動家和國際網(wǎng)絡(luò)恐怖分子的首選武器。此外，隨著黑客武器庫中的工具越來越強大，DDoS 攻擊變得越來越容易發(fā)起。每個月都會出現(xiàn)新的病毒和蠕蟲，因此公司需要做好準備抵御這種不斷擴大的安全威脅。

DDoS 攻擊利用了 Internet 的開放性及其將數(shù)據(jù)包從幾乎任何來源傳送到任何目的地的優(yōu)勢。使 DDoS 攻擊如此具有挑戰(zhàn)性的原因在于，非法數(shù)據(jù)包與合法數(shù)據(jù)包幾乎無法區(qū)分。典型的 DDoS 攻擊類型包括帶寬攻擊和應(yīng)用程序攻擊。

在帶寬攻擊中，網(wǎng)絡(luò)資源或設(shè)備被大量數(shù)據(jù)包消耗。對于應(yīng)用程序攻擊，TCP 或 HTTP 資源無法處理事務(wù)或請求。那么，您如何保護公司的服務(wù)器免受從受感染的 PC 通過 Internet 發(fā)送的數(shù)據(jù)的沖擊呢？您如何防止 DDoS 攻擊破壞您公司的網(wǎng)絡(luò)？您可以采取多種方法來防御 DDoS 攻擊：

黑洞或沉洞：這種方法會阻止所有流量并將其轉(zhuǎn)移到黑洞，然后將其丟棄。不利的一面是，所有流量都被丟棄——無論好壞——并且目標(biāo)業(yè)務(wù)被離線。同樣，包過濾和速率限制措施只是簡單地關(guān)閉一切，拒絕合法用戶的訪問。

路由器和防火墻：路由器可以配置為通過過濾非必要協(xié)議來阻止簡單的 ping 攻擊，也可以阻止無效的 IP 地址。但是，路由器通常對使用有效 IP 地址的更復(fù)雜的欺騙攻擊和應(yīng)用程序級攻擊無效。防火墻可以關(guān)閉與攻擊相關(guān)的特定流，但與路由器一樣，它們不能執(zhí)行反欺騙。

入侵檢測系統(tǒng)： IDS 解決方案將提供一些異常檢測功能，以便它們能夠識別出有效協(xié)議何時被用作攻擊工具。它們可以與防火墻結(jié)合使用以自動阻止流量。不利的一面是，它們不是自動化的，因此需要安全專家手動調(diào)整，而且它們經(jīng)常會產(chǎn)生誤報。

服務(wù)器：正確配置服務(wù)器應(yīng)用程序?qū)τ谧畲笙薅鹊販p少 DDoS 攻擊的影響至關(guān)重要。管理員可以明確定義應(yīng)用程序可以使用哪些資源以及它將如何響應(yīng)來自客戶端的請求。結(jié)合 DDoS 緩解設(shè)備，優(yōu)化的服務(wù)器有機會通過 DDoS 攻擊繼續(xù)運行。

DDoS 緩解設(shè)備：幾家公司要么制造專用于凈化流量的設(shè)備，要么將 DDoS 緩解功能構(gòu)建到主要用于其他功能（如負載平衡或防火墻）的設(shè)備中。這些設(shè)備具有不同程度的有效性。沒有一個是完美的。一些合法流量將被丟棄，一些非法流量將到達服務(wù)器。服務(wù)器基礎(chǔ)設(shè)施必須足夠強大以處理此流量并繼續(xù)為合法客戶端提供服務(wù)。

過度配置：或購買多余的帶寬或冗余網(wǎng)絡(luò)設(shè)備來處理需求高峰可能是處理 DDoS 攻擊的有效方法。使用外包服務(wù)提供商的一個優(yōu)勢是您可以按需購買服務(wù)，例如可在需要時為您提供更多帶寬的突發(fā)電路，而不是在冗余網(wǎng)絡(luò)接口和設(shè)備上進行昂貴的資本投資。

在大多數(shù)情況下，公司事先并不知道 DDoS 攻擊即將到來。攻擊的性質(zhì)通常會在中途發(fā)生變化，要求公司在幾個小時或幾天內(nèi)快速、持續(xù)地做出反應(yīng)。由于大多數(shù)攻擊的主要影響是消耗您的 Internet 帶寬，因此裝備精良的托管主機提供商擁有減輕攻擊影響的帶寬和設(shè)備。

結(jié)論

DDoS 攻擊是可以關(guān)閉企業(yè)的破壞性隱形武器。我們對互聯(lián)網(wǎng)的依賴不斷增長，DDoS 攻擊的威脅不斷擴大。如果組織想要“照常營業(yè)”，則需要通過警惕的 DDoS 緩解方法來確保運營連續(xù)性和資源可用性。