針對DDOS攻擊部署防御措施

　DDoS攻擊的主要手段是通過大于管道處理能力的流量淹沒管道或通過超過處理能力的任務使系統癱瘓，所以理論上只要攻擊者能夠獲得比目標更強大的“動力”，目標是注定會被攻陷的。對于DDoS攻擊來說并沒有100%有效的防御手段。但是由于攻擊者必須付出比防御者大得多的資源和努力才能擁有這樣的“動力”，所以只要我們更好的了解DDoS攻擊，積極部署防御措施，還是能夠在很大程度上緩解和抵御這類安全威脅的。 

　　增強防御力

　　對抗DDoS攻擊一個很重要的要素就是增強自身的防御能力。使用更大的帶寬及提升相關設備的性能是面對DDoS攻擊最直接的處理方法。雖然這必定需要耗用一定的資源，但是對于那些將生存寄托于這些在線系統的企業來說，進行這種投入是具備足夠理由的。只是在執行這類“硬性增幅”的時候，我們需要把握適度的原則。

　　因為我們的資源是有限的，如果增加100%的投入僅能在相關性能及DDoS防御力上獲得10%的提升，明顯是一種得不償失的處理方式，畢竟這并不是我們僅有的選擇。而且攻擊者的資源同樣是有限的，在我們增加防御強度的同時，就意味著攻擊者必須集合比原來多得多的攻擊傀儡機來實施攻擊，并且會提高攻擊者暴露的風險。不過應該記住的是，真正有效的DDoS防御并不是陷入與攻擊者“角力”的惡性循環當中，而是應該綜合各種方法，為攻擊者設置足夠的障礙。 

　　目標系統處理

　　攻擊者的最終目標可能是一臺主機，也可能是一臺網絡設備。除了對其目標的硬件能力進行增強之外，我們同樣應該充分發揮系統自身的潛能，通過對目標系統的針對性處理，可以有效地放大現有資源的能量。最基本的任務是做好更新補丁的工作。特別是一些操作系統的通訊協議堆棧存在著問題，很容易成為拒絕服務攻擊的利用對象。因為利用漏洞實施拒絕服務攻擊相對于純粹的設施能力比拼要容易的多。如果不能保證消除明顯可被拒絕服務攻擊利用的漏洞，其它的防御工作將只能成為擺設。

　　好在現在各類系統的補丁更新速度還是比較令人滿意的，只要根據自身環境的情況注意對相關系統的補丁發布情況進行跟蹤就可以了。一些經常被使用的方法還包括限制連接隊列的長度以及減少處理延時等。前者可以緩解系統資源的耗盡，雖然不能完全避免“拒絕服務”的發生，但是至少在一定程度上降低了系統崩潰的可能性。而后者能夠加強系統的處理能力，通過減少延時，我們可以以更快的速度拋棄隊列里等待的連接，而不是任其堆滿隊列;不過這種方法也不是在所有情況下都有效，因為很多DDoS的攻擊機制并不是建立在類似SYN Flood這樣以畸形連接淹沒隊列的方式之上。

　　

原文轉自：http://www.anti-gravitydesign.com