DDOS攻擊已經(jīng)成為了威脅企業(yè)服務(wù)器安全的首要敵人，不少的企業(yè)安全管理員都因為DDOS攻擊焦頭爛額。那么如何建立一個預(yù)警機(jī)制防御DDOS攻擊呢？本篇文章就通過介紹思科這個國內(nèi)著名安全廠商對防御DDOS攻擊的思路，來加深企業(yè)安全管理員的防范意識。

先下手為強(qiáng)，建立機(jī)制主動防御DDOS

Guard和Detector是CISCO公司今年收購的，并將其模塊化是最熱門模塊之一，他們對DDOS的防控可以說是前無來著的產(chǎn)品，效率非常的高。在沒有遭到DDOS的時候Guard模塊是處于休眠狀態(tài)，也可以說是離線狀態(tài)，當(dāng) Detector收到發(fā)往受保護(hù)的終端時，通過算法分析和策略匹配，確定受到攻擊。此時Detector將以SSH與Guard建立連接，激活Guard 對保護(hù)終端進(jìn)行保護(hù)。Guard也將進(jìn)行策略和算法分析，給出適當(dāng)?shù)奶幚矸桨竵G棄非法數(shù)據(jù)包，限制速率等方式，將通過策略和算法分析的數(shù)據(jù)包發(fā)往目的地。整個防御過程就結(jié)束了，同時這個模塊還有智能學(xué)習(xí)的功能可以使防御更加精確，這個模塊的設(shè)置非常的簡單，因為可以進(jìn)行圖形化的操作，所以在這里就不再贅述了。

當(dāng)然要防御DDOS攻擊在沒有Guard模塊的路由器上依然能實現(xiàn)，比如使用最常用的ip verfy unicast reverse-path接口命令可以將偽裝過的數(shù)據(jù)包拋棄掉，判斷的標(biāo)準(zhǔn)最簡單的就是有沒有反向傳輸數(shù)據(jù)包時所需的路由;通過ACL過濾RFC1918 中的所有地址，RFC1918就是所有局域網(wǎng)地址的集合如10.*.*.*，192.*.*.*，172.*.*.*這類保留地址。

后來者居上，解除DDOS攻擊警報

當(dāng)然，它有疏忽大意而讓蟊賊得逞的時候，這個時候網(wǎng)管要做的就是第一時間干掉攻擊者，要想干掉攻擊者就要做出正確的判斷，那些是虛假的IP，那些是真實的，找出真實的IP屏蔽他，這種方式的好處是能立桿見影，立即清除不法分子，但是這個方法的害處是一些無辜的用戶也有可能被判定為攻擊源。當(dāng)然你也可以通過對攻擊者的路由屏蔽，雖然也能清楚攻擊，但是他的誤傷概率擴(kuò)大了，整個通過該路由的訪問都將被屏蔽，但是為了更穩(wěn)定的服務(wù)環(huán)境也只能這樣做了。還有限制ICMP和SYN數(shù)據(jù)包流量速率的方式都是可以非常有效控制DDOS攻擊的。

這里僅僅是提供一個防控的思路，對于使用CISCO路由的用戶相信這寫操作都是非常簡單的，其實在防控DDOS攻擊這場戰(zhàn)役中受攻擊者普遍都只能在降低攻擊級別和效果上突破，減輕DDOS攻擊的危害程度，它的攻擊變化無常，隨時都可以更換肉雞進(jìn)行攻擊，本文中提到CSICO的Guard模塊也許是最有效的方式，可以更精確的找到攻擊者，在策略的制定上更有研究或許能有更大的突破。
 

【編輯推薦】

1. DDOS防火墻防御功能對比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測試之日志分析工具
4. 淺析各類DDOS防火墻應(yīng)對攻擊時的表現(xiàn)
5. 實例體驗自造DDOS硬件防火墻