早在2013年，Google已經(jīng)發(fā)布一項(xiàng)名為Project Shield的項(xiàng)目，讓網(wǎng)站管理員可以升級(jí)網(wǎng)站的技術(shù)和架構(gòu)，加強(qiáng)其對(duì)抗DDoS攻擊的能力。而今，這個(gè)項(xiàng)目終于正式上線(xiàn)，作為免費(fèi)的DDoS攔截服務(wù)向公眾開(kāi)放。

Project Shield能夠通過(guò)該公司的基礎(chǔ)設(shè)施來(lái)重定向這些流量，以防止其對(duì)網(wǎng)站造成難以抗衡的影響。這款工具也是Google Ideas的一部分（最近剛被重命名為Jigsaw），而其復(fù)雜且互補(bǔ)性的“數(shù)字攻擊地圖”則提供了直觀(guān)而強(qiáng)烈的視覺(jué)沖擊。

坊間傳聞，某發(fā)布網(wǎng)站使用了google cdn的服務(wù)，能承受300G的DDoS攻擊而毫發(fā)無(wú)損。當(dāng)然，Google是不保證您的網(wǎng)站在遭受每次DDOS攻擊都能正常運(yùn)作的。

DDoS是一種在互聯(lián)網(wǎng)地下非常常見(jiàn)的攻擊方式，可以稱(chēng)作黑客入門(mén)的基礎(chǔ)技巧。其所到之處動(dòng)輒網(wǎng)站失聯(lián)、服務(wù)癱瘓，造成巨大的惡劣影響，原因在于它簡(jiǎn)單直接，直接攻擊在底層連接上。

??

那么，什么是DDoS呢？其實(shí)，DDoS（分布式拒絕攻擊）借助于客戶(hù)/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，以達(dá)到癱瘓網(wǎng)絡(luò)的目的。

這種攻擊方式可分為以下幾種：

1.通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊；

2.通過(guò)向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷；

3.阻斷某一用戶(hù)訪(fǎng)問(wèn)服務(wù)器；

4.阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。

防御方法：

其實(shí)，針對(duì)大規(guī)模的DDoS攻擊，目前并沒(méi)有系統(tǒng)性的防御方法，也就是說(shuō)完全杜絕DDoS在目前講是不太可能的，但是通過(guò)適當(dāng)?shù)姆椒梢缘钟?0%的攻擊。除了使用谷歌推出的Project Shield服務(wù)，也可以采取一些針對(duì)性方法，比如：

盡量避免NAT的使用，因?yàn)镹AT需要對(duì)地址來(lái)回轉(zhuǎn)換，轉(zhuǎn)換過(guò)程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，采用此技術(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力。

定期升級(jí)硬件配置，要有效對(duì)抗每秒10萬(wàn)個(gè)SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P4 2.4G/DDR512M/SCSI-HD，在其中起關(guān)鍵作用的主要是CPU和內(nèi)存。

及時(shí)打系統(tǒng)補(bǔ)丁，計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到DDos攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁。

定期進(jìn)行安全檢查，限制在防火墻外與網(wǎng)絡(luò)文件共享。系統(tǒng)管理員及時(shí)檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。如果日志出現(xiàn)漏洞或者日期變更，則幾乎可以肯定是主機(jī)安全受到了威脅。

對(duì)于流量在100G以上的攻擊是可以立案的，在海量的攻擊中，尋找倒推的線(xiàn)索，找出可能是C&C服務(wù)器的IP或相關(guān)域名等，通過(guò)法律手段維護(hù)自己的權(quán)益。