2017年里分布式拒絕服務(wù)(Distributed Denial of Service，縮寫DDoS)攻擊的總體頻率有增長趨勢，部分原因是物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。安全專家表示，與去年同期相比，在1 - 4月里增加了20%的DDoS攻擊。

??

自動售賣機

??

[[189926]]

都不同程度的受到了DDOS攻擊的影響！ 

面對越來越嚴重的DDOS攻擊威脅，什么樣的對策才是有效的應(yīng)對辦法呢?想想DDOS又被稱為洪水攻擊，那么應(yīng)對洪水的辦法之一，修建堤壩唄。

放在信息安全業(yè)界，修建安全的堤壩就是信息設(shè)備的基礎(chǔ)建設(shè)，一般通過以下三種辦法進行應(yīng)對。

1. 采用高性能的網(wǎng)絡(luò)設(shè)備

首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

??

[[189927]]

2. 充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。

??

[[189928]]

但需要注意的是，主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

3. 安裝專業(yè)抗DDOS防火墻

專業(yè)抗DDOS防火墻采用內(nèi)核提前過濾技術(shù)、反向探測技術(shù)、指紋識別技術(shù)等多項專利技術(shù)來發(fā)現(xiàn)和提前過濾DDoS非法數(shù)據(jù)包，做到了智能抵御用戶的DoS攻擊。但也不能100%阻止對DDoS非法數(shù)據(jù)包準確檢查。

??

[[189929]]

不過DDOS攻擊在現(xiàn)實中更多體現(xiàn)為其他的方式。

1. 惡意注冊

多用戶注冊訪問造成服務(wù)器癱瘓，為了應(yīng)對這些充滿惡意的攻擊，驗證碼及相應(yīng)的驗證手段隨之出現(xiàn)。12306的識圖驗證啦，新出現(xiàn)的滑動驗證啦，都是防止這種類似攻擊的好辦法。

??

??

2. 伴隨著驗證的改變，惡意驗證造成業(yè)務(wù)癱瘓也隨著出現(xiàn)了

曾經(jīng)有驗證短信1天之內(nèi)被使用10萬條的案例，這不僅影響了公司的業(yè)務(wù)，也影響了客戶的體驗，于是采用這種驗證辦法的企業(yè)不得不對重復(fù)驗證時間加以篩選并扣上時間限制。

總體而言，DDOS攻擊雖然猛如潮水，但并不是不能防御的攻擊，針對攻擊盡早想出對策，同時提高相應(yīng)的安全意識，能更好的避免被攻擊，以及更及時的發(fā)現(xiàn)被攻擊。

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者(微信號：JW-assoc)】

??

??戳這里，看該作者更多好文??