帶你瞭解偽造地址和反射點造成的DDOS怎麼處理？

在現階段的移動網際網路環境中，除了殭屍網路能夠在網路中造成不同形式的攻擊外，偽造地址與反射點在網路中發起的攻擊也是不容忽視的。如在DDoS攻擊中，出現的這兩種現象的給DDOS處理和防護帶來了諸多困難。這篇主要分享偽造地址和反射點造成的DDOS怎麼處理？

我們先講下偽造地址攻擊，偽造地址對攻擊溯源追查起來變得更加閒難，因此攻擊者承擔的風險小，導致他們更加肆無忌憚。而且偽造地址可以發動更大規模的DDoS攻擊。其中主要包括DNS反射式DDoS攻擊，它能夠使原始的攻擊流量放大很多倍，其威脅的程度更大。最終使得DDOS防護變得更為困難，使用源地址過濾的方式不能抵抗攻擊。因此有人提出了路由過濾的緩解方法 ，在網路入口處新增路由器，然後對資料包進行過濾。其中還有單播反向路徑轉發也屬於一種緩解地址偽造的技術，路由器會對進入的資料包檢查源地址和埠是否存在路由表中。如果存在就認為該資料包是透過最優路徑到達該路由器，可以正常轉發，否則丟棄也屬於分散式過濾方法。
反射式DDoS攻擊，主要是DNS反射攻擊，在網際網路中有大量的DNS伺服器可以作為反射點，而且透過偽造地址隱藏攻擊源以及反射攻擊的放大作用，因此也是最具破壞力的攻擊方式之一。類似的攻擊主要有ACK、DNS、SNMP、NTP等型別。針對反射點攻擊的有效治理方法是提高DNS伺服器的安全性，做到定期檢查。檢查內容：

1. 限制允許訪問地址範圍，防止被濫用；
2. 採用RRL，Knot DNS和NSD將其作為標準選項；
3. 使用者端裝置不應該在廣域網介面監聽DNS資料包，包括網路和廣播地址等。

墨者安全覺得想要有效的避免DDOS攻擊，首先要解決潛在的威脅手段，比如殭屍網路，地址偽造以及反射性攻擊等。以上屬於個人觀點，不喜勿噴，可以互相交流。