分布式拒絕服務(wù)攻擊甚至可以使結(jié)構(gòu)最完善的網(wǎng)絡(luò)癱瘓數(shù)天，造成數(shù)百萬(wàn)美元的銷售損失，凍結(jié)在線服務(wù)并損害公司的聲譽(yù)。當(dāng) SCO Group Inc. 與 Mydoom.B 蠕蟲(chóng)對(duì)其網(wǎng)站的攻擊作斗爭(zhēng)時(shí)，最廣泛報(bào)道的 DDoS 攻擊之一就發(fā)起了。但是 DDoS 攻擊對(duì)于任何行業(yè)的任何規(guī)模的企業(yè)來(lái)說(shuō)都是一個(gè)問(wèn)題。根據(jù) 2003 年 CSI/FBI 計(jì)算機(jī)犯罪和安全調(diào)查，DDoS 攻擊是成本第二高的網(wǎng)絡(luò)犯罪，也是 2003 年唯一增加的。

互聯(lián)網(wǎng)可能是一個(gè)危險(xiǎn)的地方，DDoS 攻擊正在成為黑客、政治活動(dòng)家和國(guó)際網(wǎng)絡(luò)恐怖分子的首選武器。此外，隨著黑客武器庫(kù)中的工具越來(lái)越強(qiáng)大，DDoS 攻擊變得越來(lái)越容易發(fā)起。每個(gè)月都會(huì)出現(xiàn)新的病毒和蠕蟲(chóng)，因此公司需要做好準(zhǔn)備抵御這種不斷擴(kuò)大的安全威脅。

DDoS 攻擊利用了 Internet 的開(kāi)放性及其將數(shù)據(jù)包從幾乎任何來(lái)源傳送到任何目的地的優(yōu)勢(shì)。使 DDoS 攻擊如此具有挑戰(zhàn)性的原因在于，非法數(shù)據(jù)包與合法數(shù)據(jù)包幾乎無(wú)法區(qū)分。典型的 DDoS 攻擊類型包括帶寬攻擊和應(yīng)用程序攻擊。

在帶寬攻擊中，網(wǎng)絡(luò)資源或設(shè)備被大量數(shù)據(jù)包消耗。對(duì)于應(yīng)用程序攻擊，TCP 或 HTTP 資源無(wú)法處理事務(wù)或請(qǐng)求。那么，您如何保護(hù)公司的服務(wù)器免受從受感染的 PC 通過(guò) Internet 發(fā)送的數(shù)據(jù)的沖擊呢？您如何防止 DDoS 攻擊破壞您公司的網(wǎng)絡(luò)？您可以采取多種方法來(lái)防御 DDoS 攻擊：

黑洞或沉洞：這種方法會(huì)阻止所有流量并將其轉(zhuǎn)移到黑洞，然后將其丟棄。不利的一面是，所有流量都被丟棄——無(wú)論好壞——并且目標(biāo)業(yè)務(wù)被離線。同樣，包過(guò)濾和速率限制措施只是簡(jiǎn)單地關(guān)閉一切，拒絕合法用戶的訪問(wèn)。

路由器和防火墻：路由器可以配置為通過(guò)過(guò)濾非必要協(xié)議來(lái)阻止簡(jiǎn)單的 ping 攻擊，也可以阻止無(wú)效的 IP 地址。但是，路由器通常對(duì)使用有效 IP 地址的更復(fù)雜的欺騙攻擊和應(yīng)用程序級(jí)攻擊無(wú)效。防火墻可以關(guān)閉與攻擊相關(guān)的特定流，但與路由器一樣，它們不能執(zhí)行反欺騙。

入侵檢測(cè)系統(tǒng)： IDS 解決方案將提供一些異常檢測(cè)功能，以便它們能夠識(shí)別出有效協(xié)議何時(shí)被用作攻擊工具。它們可以與防火墻結(jié)合使用以自動(dòng)阻止流量。不利的一面是，它們不是自動(dòng)化的，因此需要安全專家手動(dòng)調(diào)整，而且它們經(jīng)常會(huì)產(chǎn)生誤報(bào)。

服務(wù)器：正確配置服務(wù)器應(yīng)用程序?qū)τ谧畲笙薅鹊販p少 DDoS 攻擊的影響至關(guān)重要。管理員可以明確定義應(yīng)用程序可以使用哪些資源以及它將如何響應(yīng)來(lái)自客戶端的請(qǐng)求。結(jié)合 DDoS 緩解設(shè)備，優(yōu)化的服務(wù)器有機(jī)會(huì)通過(guò) DDoS 攻擊繼續(xù)運(yùn)行。

DDoS 緩解設(shè)備：幾家公司要么制造專用于凈化流量的設(shè)備，要么將 DDoS 緩解功能構(gòu)建到主要用于其他功能（如負(fù)載平衡或防火墻）的設(shè)備中。這些設(shè)備具有不同程度的有效性。沒(méi)有一個(gè)是完美的。一些合法流量將被丟棄，一些非法流量將到達(dá)服務(wù)器。服務(wù)器基礎(chǔ)設(shè)施必須足夠強(qiáng)大以處理此流量并繼續(xù)為合法客戶端提供服務(wù)。

過(guò)度配置：或購(gòu)買多余的帶寬或冗余網(wǎng)絡(luò)設(shè)備來(lái)處理需求高峰可能是處理 DDoS 攻擊的有效方法。使用外包服務(wù)提供商的一個(gè)優(yōu)勢(shì)是您可以按需購(gòu)買服務(wù)，例如可在需要時(shí)為您提供更多帶寬的突發(fā)電路，而不是在冗余網(wǎng)絡(luò)接口和設(shè)備上進(jìn)行昂貴的資本投資。

在大多數(shù)情況下，公司事先并不知道 DDoS 攻擊即將到來(lái)。攻擊的性質(zhì)通常會(huì)在中途發(fā)生變化，要求公司在幾個(gè)小時(shí)或幾天內(nèi)快速、持續(xù)地做出反應(yīng)。由于大多數(shù)攻擊的主要影響是消耗您的 Internet 帶寬，因此裝備精良的托管主機(jī)提供商擁有減輕攻擊影響的帶寬和設(shè)備。

結(jié)論

DDoS 攻擊是可以關(guān)閉企業(yè)的破壞性隱形武器。我們對(duì)互聯(lián)網(wǎng)的依賴不斷增長(zhǎng)，DDoS 攻擊的威脅不斷擴(kuò)大。如果組織想要“照常營(yíng)業(yè)”，則需要通過(guò)警惕的 DDoS 緩解方法來(lái)確保運(yùn)營(yíng)連續(xù)性和資源可用性。