如何最大限度地減少DDOS攻擊的危害

如何最大限度地保護企業伺服器？如果我們無法阻止這種攻擊，可以採取哪些措施？分散式拒絕服務（DDoS）是一種完全不同的攻擊，你阻止不了駭客對你這麼做，除非您主動斷開與網際網路的連線，否則它會對你的網站發起DDoS攻擊。然後我們必須首先了解DDoS攻擊的三個階段： 
第一階段是目標確認：駭客將鎖定Internet上公司網路的IP地址。這個鎖定的IP地址可能代表企業的網路伺服器，DNS伺服器，網際網路閘道器等。選擇這些攻擊目標的目的也是多種多樣的，例如賺錢（有人會為駭客攻擊某些網站付費），或者是為了打破樂趣。

第二階段是準備階段：在這個階段，駭客將入侵網際網路上的大量計算機而沒有良好的保護系統（基本上是網路上的家用計算機，NDSL寬頻或有線電纜是主要方法），駭客將在未來植入所需的工具。
第三階段是實際攻擊階段：駭客將攻擊命令傳送給所有受到攻擊的計算機（即殭屍計算機），並命令計算機使用預先植入的攻擊工具連續向攻擊目標傳送資料包，使得目標無法處理大量資料或頻寬被佔滿。

聰明的駭客還會讓這些殭屍計算機欺騙攻擊資料包的IP地址，並將攻擊目標的IP地址插入資料包的原始地址。這稱為反射攻擊。在伺服器或路由器看到這些資料包之後，它會將收到的響應轉發（即反映）到原始IP地址，這將進一步增加到目標主機的資料流。所以，我們無法阻止這種DDoS攻擊，但是知道這種攻擊的原理，我們可以最大限度地減少這種攻擊的影響。

減少攻擊影響 
入侵過濾是一種簡單的安全策略，所有網路（ISP）都應該實現。在網路邊緣（例如直接連線到外部網路的每個路由器），應建立路由宣告，以丟棄具有此網路地址的源IP標記的所有資料包。雖然這種方法不能防止DDoS攻擊，但它可以預防DDoS反射攻擊。

減輕DDoS攻擊危害
但是很多大型ISP好像都因為各種原因拒絕實現入侵過濾,因此我們需要其它方式來降低DDoS帶來的影響。目前最有效的一個方法就是反追蹤(backscattertraceback method)。
要採用這種方式,首先應該確定目前所遭受的是外部DDoS攻擊,而不是來自內網或者路由問題。接下來就要儘快在全部邊緣路由器的外部介面上進行配置,拒絕所有流向DDoS攻擊目標的資料流。
將 路由器設定為拒絕這些資料包後,路由器會在每次拒絕資料包時傳送一個因特網控制訊息協議(ICMP)包,並將"destinationunreachable"資訊和被拒絕的資料包打包傳送給來源IP地址。接下來,開啟路由器日誌,檢視那個路由器收到的攻擊資料包最多。然後根據所記錄的資料包來源IP確定哪個網段的資料量最大。在這個路由器上調整路由器針對這個網段為“黑洞”狀態,並藉由修改子網掩碼的方法將這個網段隔離開。然後再尋找這個網段的所有者的資訊,聯絡你的ISP以及資料傳送網段的ISP,將攻擊情況彙報給他們,並請求協助。不論他們是否願意幫忙,無非是一個電話的問題。接下來為了讓服務和合法流量透過,你可以將其它一些攻擊情況較輕的路由器恢復正常,只保留承受攻擊最重的那個路由器,並拒絕攻擊來源最大的網段。如果你的ISP和對方ISP很負責的協助阻擋攻擊資料包,你的伺服器你的網路將很快恢復正常。