面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，各種潛在的安全問題以及不詭的而已攻擊，讓我們的網(wǎng)絡(luò)隨時(shí)處在一個(gè)危險(xiǎn)之地，在信息時(shí)代的今天，保證服務(wù)器穩(wěn)定高效率的運(yùn)轉(zhuǎn)和防控這些惡意攻擊使網(wǎng)管們焦頭爛額。

特別是DDOS這種簡單并且非常迅猛的攻擊方式，幾乎已經(jīng)讓很多站長、網(wǎng)管焦頭爛額了，這里將著重講述DDOS的防控。
DDOS分布式拒絕服務(wù)攻擊的簡寫，是目前網(wǎng)絡(luò)上最流行、最有效的打垮一個(gè)服務(wù)器的最有效途徑之一。對于他的防控可以說只能被動防控，在挨了打才知道還手，如何才能建立一個(gè)預(yù)警機(jī)制呢？
先下手為強(qiáng)，建立機(jī)制主動防御DDOS
Guard和Detector是CISCO公司今年收購的，并將其模塊化是最熱門模塊之一，他們對DDOS的防控可以說是前無來著的產(chǎn)品，效率非常的高。在沒有遭到DDOS的時(shí)候Guard模塊是處于休眠狀態(tài)，也可以說是離線狀態(tài)，當(dāng)Detector收到發(fā)往受保護(hù)的終端時(shí)，通過算法分析和策略匹配，確定受到攻擊。此時(shí)Detector將以SSH與Guard建立連接，激活Guard對保護(hù)終端進(jìn)行保護(hù)。Guard也將進(jìn)行策略和算法分析，給出適當(dāng)?shù)奶幚矸桨竵G棄非法數(shù)據(jù)包，限制速率等方式，將通過策略和算法分析的數(shù)據(jù)包發(fā)往目的地。整個(gè)防御過程就結(jié)束了，同時(shí)這個(gè)模塊還有智能學(xué)習(xí)的功能可以使防御更加精確，這個(gè)模塊的設(shè)置非常的簡單，因?yàn)榭梢赃M(jìn)行圖形化的操作，所以在這里就不再贅述了。
當(dāng)然要防御DDOS攻擊在沒有Guard模塊的路由器上依然能實(shí)現(xiàn)，比如使用最常用的ip verfy unicast reverse-path接口命令可以將偽裝過的數(shù)據(jù)包拋棄掉，判斷的標(biāo)準(zhǔn)最簡單的就是有沒有反向傳輸數(shù)據(jù)包時(shí)所需的路由；通過ACL過濾RFC1918中的所有地址，RFC1918就是所有局域網(wǎng)地址的集合如10.*.*.*，192.*.*.*，172.*.*.*這類保留地址。
后來者居上，解除DDOS攻擊警報(bào)
當(dāng)然，它有疏忽大意而讓蟊賊得逞的時(shí)候，這個(gè)時(shí)候網(wǎng)管要做的就是第一時(shí)間干掉攻擊者，要想干掉攻擊者就要做出正確的判斷，那些是虛假的IP，那些是真實(shí)的，找出真實(shí)的IP屏蔽他，這種方式的好處是能立桿見影，立即清除不法分子，但是這個(gè)方法的害處是一些無辜的用戶也有可能被判定為攻擊源。當(dāng)然你也可以通過對攻擊者的路由屏蔽，雖然也能清楚攻擊，但是他的誤傷概率擴(kuò)大了，整個(gè)通過該路由的訪問都將被屏蔽，但是為了更穩(wěn)定的服務(wù)環(huán)境也只能這樣做了。還有限制ICMP和SYN數(shù)據(jù)包流量速率的方式都是可以非常有效控制DDOS攻擊的。
這里僅僅是提供一個(gè)防控的思路，對于使用CISCO路由的用戶相信這寫操作都是非常簡單的，其實(shí)在防控DDOS攻擊這場戰(zhàn)役中受攻擊者普遍都只能在降低攻擊級別和效果上突破，減輕DDOS攻擊的危害程度，它的攻擊變化無常，隨時(shí)都可以更換肉雞進(jìn)行攻擊，本文中提到CSICO的Guard模塊也許是最有效的方式，可以更精確的找到攻擊者，在策略的制定上更有研究或許能有更大的突破。