DDos防禦體系的構建

(DistributedDenialofService ，即分散式拒絕服務攻擊 ) 是讓指定目標無法提供正常服務為目的的攻擊方式，也是目前網際網路攻擊中最強大最難防禦的攻擊之一。

網站遭到 DDoS 攻擊 後一般表現為：網站無法開啟，或者提示 “ server unavailable ”，伺服器遠端困難，遠端連線桌面非常卡甚至黑屏，或者勉強能遠端桌面連線，但是操作困難， CPU 佔用率 100% ，伺服器處於癱瘓狀態。

DDos 攻擊會對企業造成重要資料丟失、機密外洩等不可挽回的損失。 DDoS 攻擊會以大量的非法資料耗盡網路頻寬和伺服器資源，由於分散式攻擊的源頭分佈廣泛，且攻擊時使用偽造的虛假源 IP 地址，使這種攻擊難以追查、難以抵擋。要想成功防護 DDoS 攻擊，就必須擁有足夠的高寬頻機房，將流量牽引系統部署在機房入口，同時具備抗 CC 攻擊伺服器，並擁有經驗豐富的技術支撐團隊進行日常運維與應急處理。

有效防範 DDos 攻擊的方法：

1 、 以攻擊時間段構建防禦體系

這個分類方式核心是根據 DDoS 攻擊發起的過程而產生的，可以大致分為事前安全、事中抵抗、事後分析，然後分析總結出結論後，再進行下一輪的事情安全迴圈。

2 、 以硬軟體構建 體系

（ 1 ）硬體方面首先要保證網路裝置不能成為瓶頸，需要力所能及地採用高效能的網路裝置構建網路體系。因此選擇路由器、交換機、硬體防火牆等裝置的時候要儘量選用知名度高、口碑好的產品。

（ 2 ）保證有充足的網路頻寬支援。

（ 3 ）對伺服器硬體進行升級或擴容，特別是伺服器的 CPU 和記憶體。

（ 4 ） ： 部署 DDOS 硬體 防火牆的機房 或者選擇 DDOS 軟體防火牆 。

3 、 以管理員職責構建 DDoS 防禦體系

（ 1 ）從企業管理員來看，關閉不惜要的服務、限制無用的埠連線、及時更新系統補丁等常規伺服器安全配置。

（ 2 ）從 IDC 來看，目前國內基本都是主機託管的方式進行網路運營的，所以面對 DDoS 的時候， IDC 應該盡一份力，如機房部署硬體防火牆，增加機房頻寬的總出口等。