DDoS攻擊是現(xiàn)在網(wǎng)絡(luò)上非常流行的一類攻擊手段。前段時間，分布式拒絕服務(wù)破壞了包括維基解密和萬事達(dá)卡在內(nèi)的不少網(wǎng)站。只要利用搜索引擎搜索一下，我們就可以了解到相關(guān)情況。

維基解密服務(wù)器受到的攻擊強(qiáng)度是在萬兆每秒(Gbps)左右。通常情況下，人們對DDOS的認(rèn)識是知道它可以利用無用流量占據(jù)網(wǎng)絡(luò)中的所有帶寬，導(dǎo)致出現(xiàn)數(shù)據(jù)擁塞，從而無法進(jìn)行正常工作的情況。當(dāng)然，這確實屬于DDoS攻擊中的一類，不過，這一概念里實際上也包含了可以通過攻擊占據(jù)服務(wù)器資源的其它類型。這就意味著，由于針對的是服務(wù)器資源，所以，不管網(wǎng)絡(luò)帶寬有多大，DDoS攻擊也是有可能獲得成功的。為了真正確保網(wǎng)絡(luò)不受到類似攻擊，互聯(lián)網(wǎng)連接和服務(wù)器都需要進(jìn)行防護(hù)。

通常情況下，DDoS攻擊針對的是網(wǎng)絡(luò)中的TCP/IP基礎(chǔ)設(shè)施。這些攻擊可以分為三種類型：一種是利用TCP/IP協(xié)議棧中存在的已知缺陷;一種是針對TCP/ IP的漏洞;最后一種就是嘗試并進(jìn)行真正的暴力攻擊。

實際上，現(xiàn)在攻擊者甚至不需要利用任何黑客的支持就可以發(fā)動拒絕服務(wù)攻擊。根據(jù)調(diào)查顯示，只要8.94美元每小時的價格，就可以從犯罪分子那里租用一張僵尸網(wǎng)絡(luò)。

利用傻瓜軟件就可以發(fā)動DDoS攻擊的話，為什么還要付費呢?來自系統(tǒng)管理、網(wǎng)絡(luò)和安全協(xié)會互聯(lián)網(wǎng)風(fēng)暴中心的消息顯示，在這波針對商業(yè)公司發(fā)起的DDoS攻擊浪潮中，人們開始使用低軌道離子加農(nóng)炮(Low Orbit Ion Cannon，以下簡稱LOIC)，一種開源的DoS攻擊工具來對卡或者維薩卡網(wǎng)站的端口進(jìn)行攻擊。使用者要做的事情僅僅就是用鼠標(biāo)點擊一下，攻擊就正式開始了。

LOIC是一個功能非常強(qiáng)大的工具。它可以使用大規(guī)模的垃圾流量對目標(biāo)網(wǎng)站實施攻擊，從而耗盡網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)崩潰，無法提供服務(wù)。關(guān)于這起攻擊，唯一“有趣”的事情是，推特被用來對攻擊過程進(jìn)行協(xié)調(diào)。

如果希望了解DDoS攻擊是如何進(jìn)行攻擊的話，下面就是我對DDoS攻擊技術(shù)的全面介紹。

DDoS攻擊技術(shù)的詳盡分析

TCP/IP協(xié)議棧實現(xiàn)中存在的漏洞

對于利用TCP/IP協(xié)議中存在漏洞進(jìn)行攻擊的模式來說，典型的例子就是死亡之Ping攻擊。利用這一漏洞，攻擊者可以創(chuàng)建一個超過IP標(biāo)準(zhǔn)最大限制65536字節(jié)的IP數(shù)據(jù)包。當(dāng)該巨型數(shù)據(jù)包進(jìn)入使用存在漏洞的TCP/ IP協(xié)議棧和操作系統(tǒng)的系統(tǒng)時，就會導(dǎo)致崩潰。

所有的最新操作系統(tǒng)和協(xié)議棧都可以防范采用死亡之Ping模式的攻擊，但是，時不時的，我就會發(fā)現(xiàn)有人還在運行無法防范死亡之Ping攻擊的系統(tǒng)。這種情況告訴我們，大家都應(yīng)該及時對網(wǎng)絡(luò)設(shè)備和軟件進(jìn)行更新。僅僅因為它依然可以運行，并不等于這樣的情況是安全的。

對TCP/IP運行中的漏洞進(jìn)行攻擊的另一種方式是撕毀模式，它利用的是系統(tǒng)對IP數(shù)據(jù)包分片進(jìn)行重新組合時間存在的漏洞。由于網(wǎng)絡(luò)是四通八達(dá)的，所以，IP數(shù)據(jù)包可能被分解成更小的分片。所有這些部分都包含了來自原始IP數(shù)據(jù)包的報頭，以及一個偏移字段來標(biāo)識里面包含哪些字節(jié)來自原始數(shù)據(jù)包。有了這些信息，在出現(xiàn)網(wǎng)絡(luò)中斷的情況下，被破壞的普通數(shù)據(jù)包就可以在目的地重新組合起來。而在撕毀攻擊中，服務(wù)器將遭到來自包含了含有重疊偏移的偽造分片數(shù)據(jù)包的攻擊。如果服務(wù)器或者路由器不能忽略這些分片，并嘗試對他們進(jìn)行重新組合的話，就會導(dǎo)致系統(tǒng)崩潰的情況很快出現(xiàn)。但如果系統(tǒng)及時進(jìn)行了更新，或者擁有可以防范撕毀攻擊的防火墻的話，就不用擔(dān)心這類問題了。#p#

TCP/IP協(xié)議中的漏洞

另一種古老而有效的DDoS攻擊模式是同步攻擊。同步的工作是用來在兩個互聯(lián)網(wǎng)應(yīng)用之通過協(xié)議建立握手。它的實現(xiàn)方法是通過一個應(yīng)用程序發(fā)送一個TCP SYN(同步)數(shù)據(jù)包到另一個程序來啟動會話過程。對應(yīng)的應(yīng)用程序?qū)⒎祷匾粋€TCP SYN-ACK(同步確認(rèn))包;原始程序接下來就利用個ACK(確認(rèn))響應(yīng)。一旦程序間建立了會話過程，就可以實現(xiàn)協(xié)同工作了。

同步攻擊的方式是發(fā)送大量TCP SYN數(shù)據(jù)包。每個SYN數(shù)據(jù)包都會迫使目標(biāo)服務(wù)器產(chǎn)生一個SYN-ACK響應(yīng)，并等待合適的應(yīng)答。這樣很快就導(dǎo)致在SYN-ACK的背后都積壓一堆其他注冊的隊列。當(dāng)積壓隊列爆滿，系統(tǒng)就將停止確認(rèn)收到SYN請求。

如果同步攻擊發(fā)送的同步數(shù)據(jù)包中包含了錯誤的網(wǎng)絡(luò)源IP地址的話，攻擊的效果就會更好。在這種情況下，由于SYN-ACK發(fā)送出去后，ACK不再返回。通常情況下，迅速滿溢的積壓隊列就會將合法程序發(fā)送的SYN請求結(jié)束。

內(nèi)地攻擊就是采用欺騙同步數(shù)據(jù)包模式攻擊的新變種，它可以將網(wǎng)絡(luò)地址偽裝成為來自網(wǎng)絡(luò)內(nèi)部的情況?，F(xiàn)在，同步攻擊針對的似乎主要是防火墻，給管理者制造麻煩。

同樣，大部分最新的操作系統(tǒng)和防火墻都可以防御同步攻擊。這里有一種簡單的方法，可以對防火墻進(jìn)行設(shè)置，以防止所有包含已知錯誤源網(wǎng)絡(luò)IP地址的傳入數(shù)據(jù)包。該列表中包含了下列僅在內(nèi)部使用的保留網(wǎng)絡(luò)IP地址：10.0.0.0到10.255.255.255，127.0.0.0到127.255.255.255，172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。

但是，如果可以方便地直接摧毀系統(tǒng)，還為什么要擔(dān)心偷偷摸摸躲在窗后的敵人呢?地址欺騙攻擊以及利用用戶數(shù)據(jù)報協(xié)議(UDP)過度使用的洪水攻擊就屬于這樣的情況。

在地址欺騙攻擊中，攻擊者會向路由器發(fā)送過量的網(wǎng)際消息控制協(xié)議(ICMP) 回送請求數(shù)據(jù)包，這是一種特殊的ping包。每個數(shù)據(jù)包的目的網(wǎng)絡(luò)IP地址也是網(wǎng)絡(luò)中的廣播地址，這會導(dǎo)致路由器將ICMP數(shù)據(jù)包廣播給網(wǎng)絡(luò)中的所有主機(jī)。不用說，在一張大型網(wǎng)絡(luò)中，這將迅速導(dǎo)致出現(xiàn)大量數(shù)據(jù)傳輸堵塞的情況。此外，類似內(nèi)地攻擊，如果黑客將兩種模式結(jié)合到一起的話，事情就會變得更糟。

防范地址欺騙攻擊的最簡單方法就是關(guān)閉路由器或者交換機(jī)的地址廣播功能，或者在防火墻中進(jìn)行設(shè)置拒絕ICMP回送請求數(shù)據(jù)包。管理員還可以對服務(wù)器進(jìn)行設(shè)置，這樣的話，在遇到發(fā)送給廣播網(wǎng)絡(luò)IP地址的ICMP數(shù)據(jù)包時，就不會進(jìn)行響應(yīng)。由于很少有應(yīng)用需要網(wǎng)絡(luò)IP地址廣播功能，所以這些調(diào)整不會對網(wǎng)絡(luò)的正常運行帶來影響。

對于采用UDP洪水模式的DDoS攻擊來說，就不是那么容易處理了。原因很簡單，類似域名系統(tǒng)(DNS)和簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)，很多應(yīng)用都需要UDP協(xié)議的支持。在UDP洪水攻擊中，攻擊者通過欺騙手段連接到系統(tǒng)的UDP 字符發(fā)生器服務(wù)上，在接受到數(shù)據(jù)包后，字符發(fā)生器將會針對另一臺系統(tǒng)發(fā)送回送服務(wù)包。結(jié)果就是，系統(tǒng)之間來自字符發(fā)生器的半隨機(jī)字符泛濫，導(dǎo)致帶寬迅速被充滿，常規(guī)應(yīng)用的使用受到了影響。

防范UDP攻擊的一種方法是禁用或者過濾所有針對主機(jī)的UDP服務(wù)請求。只要容許被服務(wù)型的UDP請求，需要使用UDP或作為備份數(shù)據(jù)傳輸協(xié)議的普通應(yīng)用，將可以繼續(xù)正常工作。#p#

暴力攻擊

看起來，有這些多種方法都可以用來阻止DDoS攻擊，因此，有人可能會認(rèn)為這不會比垃圾郵件更難處理。但可惜的是，這種想法是完全錯誤的。在任何心存不滿的人都可以糾集從數(shù)百到數(shù)萬臺計算機(jī)對網(wǎng)站進(jìn)行DDoS攻擊的時間，防范工作將會是非常困難的。他們所要做的工作僅僅是從網(wǎng)絡(luò)上對可能存在的信息進(jìn)行了解，就可以迅速進(jìn)行所需要的攻擊。

類似Conficker的惡意軟件將數(shù)以十萬計的Windows系統(tǒng)變成了潛在攻擊者可以使用的武器。由此導(dǎo)致的直接攻擊浪潮不會被寥寥無幾的防御措施所阻擋。防御者所能依靠的只有服務(wù)器，這也是為什么維基解密試圖選擇亞馬遜網(wǎng)絡(luò)服務(wù)或者大量增加網(wǎng)絡(luò)托管主機(jī)的資源才能防止洪水攻擊的原因。

我擔(dān)心，并且確信，在未來會看到更多這種類型的DDoS攻擊。隨著互聯(lián)網(wǎng)范圍的進(jìn)一步擴(kuò)大，越來越多的使用者通過寬帶接入，為攻擊者提供了更多未受保護(hù)的Windows系統(tǒng)來進(jìn)行控制。更糟的是，在類似低軌道離子加農(nóng)炮之類工具的幫助下，只要獲得一些志同道合朋友的幫助，任何中型網(wǎng)站都可以被摧毀。

請不要忘記，使用這些工具的話，可能會被跟蹤，并可能會面臨刑事指控。最近，一名大學(xué)生就因為利用DDoS攻擊工具攻擊保守派的網(wǎng)站被判入獄30個月。

不過，即使這樣的威脅籠罩在攻擊者的頭上，我也沒有看到絲毫停止的跡象。

DDoS攻擊能否防御

近日進(jìn)行的一次郵件采訪中，賽門鐵克新加坡的經(jīng)理 Ronnie Ng解釋說， LOIC 是一種網(wǎng)絡(luò)壓力測試程序，通過對特定網(wǎng)站服務(wù)器發(fā)送TCP, UDP 和 HTTP請求進(jìn)行DOS攻擊，測試網(wǎng)站負(fù)載能力。

大家都知道，如今網(wǎng)絡(luò)上能下載到各種攻擊程序，包括LOIC。Ng說：“能發(fā)起這類攻擊的程序非常多，其中有些是合法軟件，通過簡單的搜索就能找到這些程序，但還是要看使用者是否將其用在合法用途上。另外還有很多非法的攻擊程序，它們被設(shè)計出來的目的就是進(jìn)行非法活動，通過僵尸網(wǎng)絡(luò)等方式，這種程序能夠?qū)崿F(xiàn)相當(dāng)高的攻擊效率。”

DDoS攻擊并不是什么新形式，而我們常常聽到的是，網(wǎng)絡(luò)罪犯的攻擊手段不會總比網(wǎng)絡(luò)防護(hù)手段更先進(jìn)。

Ng說：“攻擊者們總是在不斷嘗試用各種方法來獲取他們所需的信息。這些方法從DoS攻擊到利用各種系統(tǒng)漏洞，目的就是入侵目標(biāo)系統(tǒng)。” 他認(rèn)為，隨著防護(hù)技術(shù)的不斷進(jìn)步，技術(shù)所能提供的最大防護(hù)程度也在增加，同時良好的補(bǔ)丁管理機(jī)制以及使用者對網(wǎng)絡(luò)威脅的重視程度不斷增加，都能很有效的提高系統(tǒng)安全等級。

但是Ng也表示，雖然能夠通過支付費用提高系統(tǒng)的安全等級，但是確保系統(tǒng)不受到DDoS攻擊是非常難的。他說：“網(wǎng)店需要審核網(wǎng)關(guān)和防火墻規(guī)則，確保這些設(shè)備能夠處理每日都會出現(xiàn)的小規(guī)模的攻擊，另外還應(yīng)該有一套應(yīng)急方案，應(yīng)對大規(guī)模的攻擊。類似的策略可以是更嚴(yán)格的包過濾規(guī)則，判斷何時以及什么樣的數(shù)據(jù)包該被丟棄，以及針對IP地址的規(guī)則，當(dāng)出現(xiàn)明顯攻擊時將特定的IP地址列入黑名單。”#p#

應(yīng)用防火墻能否擊敗DDoS攻擊?

網(wǎng)絡(luò)安全專家表示，隨著網(wǎng)絡(luò)攻擊方式越來越狡詐，以網(wǎng)絡(luò)應(yīng)用為主營業(yè)務(wù)的企業(yè)應(yīng)該尋求更好的防火墻對自身進(jìn)行防護(hù)，尤其是針對分布式拒絕服務(wù)攻擊(DDOS)。

F5 Networks 科技公司總經(jīng)理Vladimir Yordanov表示，超過80%的網(wǎng)絡(luò)攻擊是針對網(wǎng)絡(luò)應(yīng)用程序的，而傳統(tǒng)的防護(hù)措施，諸如服務(wù)器周邊的防火墻設(shè)備所能起到的防護(hù)作用很小。這就是為什么DDOS類的攻擊總能成功擊潰網(wǎng)站或支付系統(tǒng)的原因。

最近在接受采訪時，Yordanov解釋說：“由于DDoS攻擊所采用的訪問請求很難與正常訪問請求區(qū)別開，因此傳統(tǒng)的防御系統(tǒng)，比如入侵預(yù)防系統(tǒng)或入侵檢測系統(tǒng)很難阻擋住DDOS的攻擊。”

一般來說，在應(yīng)用防火墻允許請求進(jìn)入系統(tǒng)前，會通過發(fā)送并響應(yīng)cookie來判斷該用戶是否真實，以及該訪問請求是否有效。而在最近很多DDoS攻擊實例中，比如針對Paypal，MasterCard以及Visa網(wǎng)站所進(jìn)行的攻擊，都是通過僵尸網(wǎng)絡(luò)中的肉雞電腦發(fā)送的，而這些電腦并不能響應(yīng)應(yīng)用防火墻發(fā)送的查詢請求。

據(jù)報道，這一系列網(wǎng)絡(luò)攻擊被稱作“Operation Payback”，其目的是聲援被羈押的維基解密創(chuàng)始人Julian Assange。而維基解密網(wǎng)站也由于美國和歐洲ISP，網(wǎng)絡(luò)托管商以及支付供應(yīng)商的退出而關(guān)閉。

作為對Wikileaks和Assange所受遭遇的報復(fù)，支持者們動用了超過3000臺志愿電腦以及超過3萬臺肉雞電腦對PayPal, MasterCard和Visa網(wǎng)站發(fā)動了DDoS攻擊。

沒有傻瓜式的解決方案

Yordanov指出，除了建立應(yīng)用防火墻，企業(yè)能考慮的其它類型的防護(hù)手段包括利用ISP過濾非法網(wǎng)絡(luò)請求后提供給企業(yè)接入的“清潔管道”以及采用更高級別的安全協(xié)議等。另外，企業(yè)還可以對網(wǎng)絡(luò)協(xié)議進(jìn)行修改，確保所有需要連接到服務(wù)器的請求都是預(yù)先核準(zhǔn)的。

但是，隨著技術(shù)的不斷進(jìn)步，黑客和網(wǎng)絡(luò)罪犯們也在嘗試各種方法來破壞系統(tǒng)，移動設(shè)備接入量的不斷增加，加劇了安全人員進(jìn)行系統(tǒng)防護(hù)的難度。 Yordanov認(rèn)為，員工的分散程度越大，企業(yè)網(wǎng)絡(luò)收到攻擊的風(fēng)險也就越大，因為很多網(wǎng)絡(luò)罪犯正是利用了這種分散辦公模式中存在的安全漏洞。

Yordanov表示，沒有什么傻瓜式的解決方案能夠百分百的安全，而能夠想到的傻瓜式解決方案就只有關(guān)閉系統(tǒng)電源了。

他說：“與其看著系統(tǒng)被攻擊，更好的辦法就是徹底關(guān)閉系統(tǒng)。在以前，如果網(wǎng)管能夠追蹤IP地址，找出DDoS攻擊的發(fā)源地，他們就可以將發(fā)源地的IP地址段列入黑名單，但這僅限于靜態(tài)IP地址。而現(xiàn)在，越來越多的攻擊采用變化頻繁的地址，使得這種黑名單的方式也失效了。”

而Yordanov也提到了另一種不必關(guān)閉系統(tǒng)的方法，就是派人不斷地監(jiān)控網(wǎng)絡(luò)流量，但是這需要大量的網(wǎng)絡(luò)技術(shù)人員，并不適合中小企業(yè)。#p#

嘗試阻止DDoS攻擊

度過了一個歡樂的春節(jié)假期，回來后發(fā)現(xiàn)網(wǎng)站掛了。估計這是所有系統(tǒng)管理員最不想看到的一幕。我在文章標(biāo)題里很謹(jǐn)慎的用了“嘗試”這個詞，因為實際上，正如上面所說，目前還沒有什么有效的方法能夠真正預(yù)防或阻止大規(guī)模的DDoS攻擊。不過還是有一些方法可以幫助我們應(yīng)對DDoS攻擊的。

注意，確實有一種方法可以終結(jié)大多數(shù)DDoS攻擊。這需要所有基于Windows的僵尸網(wǎng)絡(luò)都與根系統(tǒng)脫離。遺憾的是，這是不可能發(fā)生的。

Windows在設(shè)計時就被認(rèn)為是不安全的系統(tǒng)，而目前世界上有數(shù)億人在使用這一系列平臺系統(tǒng)，其中很多人甚至連殺毒軟件都不知道裝一個。全球有數(shù)百萬臺安裝有windows系統(tǒng)的電腦目前處于不同的僵尸網(wǎng)絡(luò)控制下，甚至你的電腦也在其列。由于大部分人還不愿意拋棄windows系統(tǒng)，尤其是最近一兩年，因此在僵尸網(wǎng)絡(luò)驅(qū)動下的DDoS攻擊仍然將會持續(xù)下去，并且我認(rèn)為DDoS攻擊將會越來越普遍。

不過，有些類型的 DDoS攻擊已經(jīng)越來越少見了。美國國土安全部網(wǎng)絡(luò)和架構(gòu)安全項目主管Sean Donelan 在North American Network Operators Group (NANOG，一個致力于建立骨干網(wǎng)和企業(yè)網(wǎng)絡(luò)的組織)上的一封郵件里表示，“隨著大部分路由器操作系統(tǒng)的升級，由SMURF發(fā)起的DDoS攻擊看似已經(jīng)有所緩解了。而隨著SYN Cookies或類似操作系統(tǒng)的改變，使得由TCP SYN發(fā)起的DDoS攻擊也看似得到了緩解。”

一句話，如果你將網(wǎng)關(guān)服務(wù)器，交換機(jī)，防火墻和其他網(wǎng)絡(luò)設(shè)備都更新到了最新的操作系統(tǒng)版本，那么就可以抵御這些利用TCP/IP 和 TCP/IP 堆棧的弱點所發(fā)動的DDoS攻擊。我相信大部分網(wǎng)管應(yīng)該都已經(jīng)這樣做了，如果你還沒有及時更新設(shè)備OS，那么立即去做。

當(dāng)然，如果有人蓄意要攻擊你的網(wǎng)站，那你所能做的防御措施也不多。德國網(wǎng)絡(luò)安全公司Probe Networks的創(chuàng)始人Jonas Frey認(rèn)為，面對DDoS攻擊，網(wǎng)站的應(yīng)對策略只有加大帶寬。Frey解釋說：“就算你的網(wǎng)站采用了 802.3ba with 40/100 Gbps (每秒GB級的吞吐量)，仍然不夠用。因為如今的消費者所使用的終端帶寬也比以往增加了，而通過惡意軟件也可以輕松的建立一個有一定規(guī)模的僵尸網(wǎng)絡(luò)。就算用戶的平均帶寬不超過2Mbps(每秒吞吐量)的上傳帶寬，那么整個僵尸網(wǎng)絡(luò)中所有終端所發(fā)送來的數(shù)據(jù)流量也是驚人的。”如果所有windows系統(tǒng)都正確安裝了補(bǔ)丁和殺毒軟件，可能這種攻擊會少一些，但是正如Frey所說的：“系統(tǒng)能打補(bǔ)丁，愚蠢的頭腦不行。”

所以說，要為你的Web服務(wù)器留出盡量多的帶寬。如果你使用的是Web服務(wù)器托管服務(wù)，那么就要檢查一下托管商接入骨干網(wǎng)的數(shù)量和帶寬。如果只有連接到一個或者兩個骨干網(wǎng)，或者每個連接所提供的帶寬太小，那么最好換別家試試看。在面對DDoS攻擊時，最有效的抵抗方法就是增加帶寬。

選播及負(fù)載分享

如果你的公司將網(wǎng)站存放在多個服務(wù)器上，那么可以通過使用選播和多播源發(fā)現(xiàn)協(xié)議(MSDP)幫助你抵御DDoS攻擊。

選播是一種聯(lián)網(wǎng)技術(shù)， 互聯(lián)網(wǎng)上不同的位置可以擁有相同的IP前綴。用大家能理解的話來說，就是采用相同域名的不同服務(wù)器共享相同的IP地址。

當(dāng)網(wǎng)站采用選播方式并被正確配置后，發(fā)生DDoS攻擊時會出現(xiàn)這樣的情況：網(wǎng)絡(luò)收到頁面請求，交換機(jī)檢查距離最近的服務(wù)器是否正常工作，如果服務(wù)器由于DDoS攻擊而沒有正常工作，選播機(jī)制將自動將頁面請求轉(zhuǎn)發(fā)給下一個服務(wù)器。因此，如果你的服務(wù)器位于紐約，舊金山和倫敦，而DDoS攻擊是來自美國東海岸的一個僵尸網(wǎng)絡(luò)，那么DDoS攻擊所帶來的數(shù)據(jù)負(fù)載，將被自動分配給這幾個服務(wù)器。

選播，或者其他負(fù)載分享技術(shù)并不能提供完美的防護(hù)能力。因為一次足夠大規(guī)模的DDoS攻擊可以將參與負(fù)載分享的所有服務(wù)器搞垮，就好像多米諾骨牌一樣。這可不是件好事。

很多公司，比如 Arbor Networks, BlockDOS, 和 ServerOrigin，都提供DDOS防護(hù)服務(wù)，但是他們也不能提供完美的服務(wù)承諾。

而這些 DDOS 防護(hù)公司，比如剛才提到的BlockDOS和ServerOrigin，就是提供分布式服務(wù)器，利用選播技術(shù)為企業(yè)網(wǎng)絡(luò)服務(wù)器提供攻擊轉(zhuǎn)移服務(wù)。如果你的網(wǎng)站沒有優(yōu)秀的管理員或沒有足夠好的服務(wù)器托管商幫你進(jìn)行負(fù)載共享，你就需要這兩家公司的服務(wù)了。 Arbor則是提供實時的網(wǎng)絡(luò)分析服務(wù)器，這樣你就能及時看到DDoS攻擊波的到來，并在該公司的幫助下實施相應(yīng)的防御。

在目前這種網(wǎng)絡(luò)環(huán)境下，我們再盡力也只能這樣了。正如Arbor Networks公司首席解決方案專家Roland Dobbins 所說的：“DDoS攻擊只是表象，真正的問題根源是僵尸網(wǎng)絡(luò)。”而僵尸網(wǎng)絡(luò)的問題，不是一時半會兒就能徹底解決的。

【編輯推薦】

1. DDoS攻擊：網(wǎng)絡(luò)戰(zhàn)爭的尖頭兵
2. DPtech入侵防御系統(tǒng)DDoS防范技術(shù)白皮書
3. 亞馬遜也頂不住DDoS 維基解密再遭網(wǎng)絡(luò)攻擊
4. 新一波DDoS僵尸網(wǎng)絡(luò)攻擊來勢洶洶