DDoS防得住么？(图)

作者: 北京/陈晓琳

　　目前的网络攻击中分布式拒绝服务攻击（DDoS）是黑客经常使用而又难以防范的攻击手段，建立在传统的DoS攻击基础之上的一种攻击方式，会利用更多的傀儡机发起进攻。

　　DDoS攻击具有难于防范、破坏力强、易于发动、追查困难、危害面广等特点，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。
　　例如，2002年美国当地时间10月21日，全世界13台路由DNS服务器同时受到了DDoS攻击，给企业造成了巨大的经济损失。
　　目前有许多防护手段都可以防范DDoS，但效果并不理想。
系统优化
　　这种手段只有专业级的高水平技术专家可以根据攻击速度确定攻击类型，并熟知操作系统核心配置，根据服务类型和侧重点选择防护和退让策略。即使如此也只能抵抗一些小规模的攻击，很难抵抗大型DDoS攻击。
　　另外，这种手段中大部分保护主机的防护算法，如Random Drop是以牺牲部分甚至全部正常访问为代价的，对于可靠性较高的商业网络来说是不可取的。

路由器优化
　　使用这种防护手段需要得到攻击路径中上级网络设备服务商的支持。
　　该技术主要是采用一些路由器自身的保护策略以牺牲正常的访问为代价，但并不能智能识别区分攻击和正常访问。

退让策略
　　退让策略采用了DNS轮循，或者通过负载均衡、Cluster等技术增加响应主机数量，增加系统资源，从而提升抗攻击能力。这种方法需要投入较大的资金，对于大部分的机构都不可取。

防火墙
　　作为一般的机构使用抗攻击的防火墙也是一种明智的选择，它配置简单，操作方便宜于管理。但防火墙只能防护一些较低规模的拒绝服务攻击，在防护例如DDoS攻击还没有达到专业产品的性能和效率。对于大规模的攻击还是无能为力的甚至有可能成为攻击目标。
　　相对而言，还是建议大家使用专业的抗DoS/DDoS攻击产品将很大程度上防护大规模的攻击。
　　建议：DDoS是极难防范的，如果目前设备均无效，不妨使用一下专门的防DoS/DDoS攻击系统。

伟士盾安天目抗DDoS系统
　　伟士盾安天目1000/1800具有先进的体系结构，系统核心实现防御拒绝服务攻击算法，能对各类攻击进行防护；可以有效防止链接耗尽，主动清除服务器上的残余连接，提高网络服务的品质；可以抑制网络蠕虫的扩散；还可以防护DNS Query Flood，保护DNS服务器正常运行。当发生攻击时天目抗攻击网关可自适应到免疫抗攻击状态，攻击消失时将自适应到正常工作状态。
　　对于不同的攻击，天目自适应到相应的免疫工作模式，对于不同的攻击强度，将自适应到免疫工作模式。而且，天目的网络隐身技术（无IP技术）在网络中为透明单元，因此增加了自身的安全性，不会被作为攻击的目标。