大部分網路都很容易受到各種類型的駭客攻擊，但是我們可以通過一套安全規範來最大限度的防止駭客攻擊的發生。

但是，分散式拒絕服務攻擊（DDoS）是一個完全不同的攻擊方式，你無法阻止駭客對你的網站發動DDoS攻擊，除非你主動斷開互聯網連接。

如果我們無法防止這種攻擊，那麼怎麼做才能最大限度地保護企業網路呢？

首先你應該清楚的瞭解DDoS攻擊的三個階段，然後再學習如何將這種攻擊的危害降到最低。

理解DDoS攻擊

一個DDoS攻擊一般分為三個階段。第一階段是目標確認：駭客會在互聯網上鎖定一個企業網路的IP位址。這個被鎖定的IP位址可能代表了企業的 Web伺服器，DNS伺服器，互聯網閘道等。而選擇這些目標進行攻擊的目的同樣多種多樣，比如為了賺錢（有人會付費給駭客攻擊某些網站），或者只是以破壞為樂。

第二個階段是準備階段：在這個階段，駭客會入侵互聯網上大量的沒有良好防護系統的電腦（基本上就是網路上的家用電腦，DSL寬頻或有線電纜上網方式為主）。駭客會在這些電腦中植入日後攻擊目標所需的工具。

第三個階段是實際攻擊階段：駭客會將攻擊命令發送到所有被入侵的電腦（也就是僵屍電腦）上，並命令這些電腦利用預先植入的攻擊工具不斷向攻擊目標發送資料包，使得目標無法處理大量的資料或者頻寬被占滿。

聰明的駭客還會讓這些僵屍電腦偽造發送攻擊資料包的IP位址，並且將攻擊目標的IP位址插在資料包的原始位址處，這就是所謂的反射攻擊。伺服器或路由器看到這些資料包後會轉發（即反射）給原始IP位址一個接收響應，更加重了目標主機所承受的資料流程。

因此，我們無法阻止這種DDoS攻擊，但是知道了這種攻擊的原理，我們就可以儘量減小這種攻擊所帶來的影響。

減少攻擊影響

入侵過濾（Ingress filtering）是一種簡單而且所有網路（ISP）都應該實施的安全性原則。在你的網路邊緣（比如每一個與外網直接相連的路由器），應該建立一個路由聲 明，將所有資料來來源IP標記為本網位址的資料包丟棄。雖然這種方式並不能防止DDoS攻擊，但是卻可以預防DDoS反射攻擊。

減輕DDoS攻擊危害

但是很多大型ISP好像都因為各種原因拒絕實現入侵過濾，因此我們需要其它方式來降低DDoS帶來的影響。目前最有效的一個方法就是反追蹤（backscatter traceback method）。

要採用這種方式，首先應該確定目前所遭受的是外部DDoS攻擊，而不是來自內網或者路由問題。接下來就要儘快在全部邊緣路由器的外部介面上進行配置，拒絕所有流向DDoS攻擊目標的資料流程。

另外，還要在這些邊緣路由器埠上進行配置，將全部無效或無法定位的資料來源IP的資料包丟棄。比如以下地址：

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

將路由器設置為拒絕這些資料包後，路由器會在每次拒絕資料包時發送一個網際網路控制訊息協定（ICMP）包，並將 destination unreachable 資訊和被拒絕的資料包打包發送給來源IP位址。

接下來，打開路由器日誌，查看那個路由器收到的攻擊資料包最多。然後根據所記錄的資料包來源IP確定哪個網段的資料量最大。在這個路由器上調整路由器針對這個網段為“黑洞”狀態，並藉由修改子網路遮罩的方法將這個網段隔離開。

然後再尋找這個網段的所有者的資訊，聯繫你的ISP以及資料發送網段的ISP，將攻擊情況彙報給他們，並請求協助。不論他們是否願意幫忙，無非是一個電話的問題。

接下來為了讓服務和合法流量通過，你可以將其它一些攻擊情況較輕的路由器恢復正常，只保留承受攻擊最重的那個路由器，並拒絕攻擊來源最大的網段。如果你的ISP和對方ISP很負責的協助阻擋攻擊資料包，你的網路將很快恢復正常。

結語

DDoS攻擊很狡猾，也很難預防，但是你可以借由以上方式及時減輕這種攻擊對網路的影響。面對攻擊，你只需要快速地回應和正確的方法，就可以及時發現攻擊資料流程並將其擋掉。

看到本文的時候就想起來在駭客聯盟的時候，曾經有一個公司為了攻擊一個競爭對手，不惜一切的代價去，設置付出很高的價錢，要DDOS人家半年，如果這樣還不能被發現的話，那麼這個公司肯定是一垃圾的公司？

本文寫的不錯，偶就喜歡這樣的文章，DDOS暫時沒辦法防止，但是你可以把你的損失減少到最少，我們做的不只是單純的防禦，DDOS有有很多中，曾經baidu的遭到大面積的分射式拒絕服務攻擊造成了很大的損失？

（此篇文章為網路轉載，如有冒犯，請來信告知，當即刻移除！）