DDOS是替代DOS攻擊之后的新型的攻擊方式，DDOS攻擊已經成為了主流的攻擊模式。那么如果企業(yè)安全管理員發(fā)現企業(yè)網絡受到DDOS攻擊時，應該果斷采取措施。那么如何進行DDOS防御呢？本文將為您簡述一下DDOS防御的幾個步驟。

1、首先檢測到有DDOS發(fā)生，并了解到victim。

2、Guard發(fā)送BGP通告到遠端路由器（在victim的BGP通告設置前綴，并得到比原始BGP通告更高的優(yōu)先權），表示從遠端路由器到victim有新的路由，并且路由到Guard的loopback interface，所有到victim的都經過附屬路由器轉移到了Guard上。

3、Guard檢查流量，并且清除其中的攻擊流量，然后把安全的流量轉發(fā)到附屬路由器上，在回到victim其中核心就是Guard，技術就是白皮書中描述的MVP架構（Multi-Verification Process），也就是下面5個層次過濾(Filtering) ：這個模塊包含靜態(tài)和動態(tài)的DDOS過濾。靜態(tài)過濾，攔截non-esse ntial流量，可以是用戶定義的，或者是riverhead默認提供的。動態(tài)過濾則基于行為分析和流量的細節(jié)分析，通過增加對可疑流量的確認或攔截已經確認的惡意流量，來進行實時更新反欺騙(Anti-Spoofing)：這個模塊驗證進入系統(tǒng)的數據包是否被欺騙的。Guard使用了獨有的、有專利的源驗證機制來避免欺騙。也通過一些機制來確認合法流量，消除合法數據包被拋棄異常檢測（Anomaly Recognition）：該模塊監(jiān)視所有沒有被過濾和反欺騙模塊拋棄的流量，將流量同平常紀錄的基線行為進行比較，發(fā)現異常?；驹砭褪峭ㄟ^模式匹配，區(qū)別來自black-hat和合法通訊之間的不同。該原理用來識別攻擊源和類型，而且提出攔截這類流量的指南。

異常檢測包括： 攻擊流量速率大小 包大小和端口的分布 包到達時間的分布 并發(fā)流量數 高級協(xié)議特征 出、入的速率 流量分類： 源IP 源端口 目的端口 協(xié)議類型 連接量（每天、每周） 協(xié)議分析（Protocol Analysis）：本模塊處理異常檢測中發(fā)現的可疑的應用方面的攻擊，比如http攻擊。協(xié)議分析也檢測一些協(xié)議錯誤行為。

流量限制（Rate Limiting）：主要是處理那些消耗太多資源的源頭流量。

所以，實際上最主要的內容就是異常檢測中的統(tǒng)計分析，但是從上面看似乎沒有多少特別的地方，但是，一定有很好的算法。比如FILTER，實際是對付一些很熟悉的有明顯特征的攻擊，反欺騙，就是對付syn flood這樣的，說不定也是一個syn cookie模塊，，但也許有更專利的技術。

協(xié)議分析其實應該來說就比較弱了，但可以針對一些常見協(xié)議中的特定攻擊，檢測識別一些協(xié)議錯誤行為只是協(xié)議校驗，這個很簡單。流量限制則就是一種隨機丟包，最無奈的辦法，所以也是最后一個層次了。

因為這個產品主要是作Mitigation的，而不是ip traceback。但是可以判定還是有重要的問題，比如：

1、如何對付真正的bandwidth flood。如果路由器是千兆的，但是，攻擊流量已經占了90%，只流下10%讓合法使用，路由器已經先與Guard開始進行隨機丟包了。（沒辦法，這是所有防御技術的瓶頸）

2、真正的攻擊。真正的攻擊是很難或者無法識別的。比如，基本跟正常形式一樣的，如果和統(tǒng)計數據很接近，那么很難區(qū)別出來。還有一些攻擊，比如反射式的郵件攻擊等，這是完全合法的，但是很難分類出來。
 

【編輯推薦】

1. DDoS拒絕服務攻擊和安全防范技術
2. ROS防止外網的DDOS的好辦法
3. 揭秘黑客手中DDoS攻擊利器——黑色能量2代
4. DDoS deflate:自動屏蔽DDOS攻擊者IP
5. DDoS防御進入“云”清洗階段