重大DDOS攻擊案例：
2000年2月，包括雅虎、CNN、亞馬遜、eBay、Buy.com、ZDNet，以及E*Trade和Datek等網(wǎng)站均遭受到了DDOS攻擊，并致使部分網(wǎng)站癱瘓。
2007年5月，愛沙尼亞三周內(nèi)遭遇三輪DDOS攻擊,總統(tǒng)府、議會、幾乎全部政府部門、主要政黨、主要媒體和2家大銀行和通訊公司的網(wǎng)站均陷入癱瘓，為此北約頂級反網(wǎng)絡(luò)恐怖主義專家前往該國救援。
2009年519斷網(wǎng)事件導(dǎo)致南方六省運營商服務(wù)器全部崩潰，電信在南方六省的網(wǎng)絡(luò)基本癱瘓。
2009年7月，韓國主要網(wǎng)站三天內(nèi)遭遇三輪猛烈的DDOS攻擊，韓國宣布提前成立網(wǎng)絡(luò)司令部。
最近比較著名的案例有：全球三大游戲平臺：暴雪戰(zhàn)網(wǎng)、Valve Steam和EA Origin遭到大規(guī)模DDoS攻擊，致使大批玩家無法登錄與進(jìn)行游戲。隨后名為DERP的黑客組織聲稱對此次大規(guī)模的DDoS攻擊行動負(fù)責(zé)。

可以說，DDoS是目前最兇猛、最難防御的網(wǎng)絡(luò)攻擊之一。現(xiàn)實情況是，這個世界級難題還沒有完美的、徹底的解決辦法，但采取適當(dāng)?shù)拇胧┮越档凸魩淼挠绊?、減少損失是十分必要的。將DDoS防御作為整體安全策略的重要部分來考慮，防御DDoS攻擊與防數(shù)據(jù)泄露、防惡意植入、反病毒保護(hù)等安全措施同樣不可或缺。

不得不得提的是，防御DDoS攻擊是一個系統(tǒng)的工程。防御DDoS應(yīng)該根據(jù)攻擊流量大小等實際情況靈活應(yīng)對，采取多種組合，定制策略才能更好地實現(xiàn)防御效果。畢竟，攻擊都流行走混合路線了，防御怎么還能一種功夫包打全能。

由于DDoS攻擊和防御都面臨著成本開支，當(dāng)我們的防御強(qiáng)度逐步增加，攻擊成本也對應(yīng)上升，當(dāng)大部分攻擊者無法持續(xù)而選擇放棄，那防御就算成功了。也因此我們需要明白，防御措施、抗D服務(wù)等都只是一種“緩解”療法，而不是一種“治愈”方案，我們談防御是通過相應(yīng)的舉措來減少DDoS攻擊對企業(yè)業(yè)務(wù)的影響，而不是徹底根除DDoS攻擊。

基于以上，我們將從三個方面（網(wǎng)絡(luò)設(shè)施、防御方案、預(yù)防手段）來談?wù)劦钟鵇DoS攻擊的一些基本措施、防御思想及服務(wù)方案。

一．網(wǎng)絡(luò)設(shè)備設(shè)施

網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個系統(tǒng)得以順暢運作的硬件基礎(chǔ)，用足夠的機(jī)器、容量去承受攻擊，充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對策略，說到底攻防也是雙方資源的比拼，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失。相應(yīng)地，投入資金也不小，但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ)，需要根據(jù)自身情況做出平衡的選擇。

1. 擴(kuò)充帶寬硬抗

網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力，國內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M，知名企業(yè)帶寬能超過1G，超過100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站，數(shù)量屈指可數(shù)。但DDoS卻不同，攻擊者通過控制一些服務(wù)器、個人電腦等成為肉雞，如果控制1000臺機(jī)器，每臺帶寬為10M，那么攻擊者就有了10G的流量。當(dāng)它們同時向某個網(wǎng)站發(fā)動攻擊，帶寬瞬間就被占滿了。增加帶寬硬防護(hù)是理論最優(yōu)解，只要帶寬大于攻擊流量就不怕了，但成本也是難以承受之痛，國內(nèi)非一線城市機(jī)房帶寬價格大約為100元/M*月，買10G帶寬頂一下就是100萬，因此許多人調(diào)侃拼帶寬就是拼人民幣，以至于很少有人愿意花高價買大帶寬做防御。

2. 使用硬件防火墻

許多人會考慮使用硬件防火墻，針對DDoS攻擊和黑客入侵而設(shè)計的專業(yè)級防火墻通過對異常流量的清洗過濾，可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網(wǎng)站飽受流量攻擊的困擾，可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍（比如200G的硬防，但攻擊流量有300G），洪水瞞過高墻同樣抵擋不住。值得注意一下，部分硬件防火墻基于包過濾型防火墻修改為主，只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，若是DDoS攻擊上升到應(yīng)用層，防御能力就比較弱了。

3. 選用高性能設(shè)備

除了防火墻，服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上，若是設(shè)備性能成為瓶頸，即使帶寬充足也無能為力。在有網(wǎng)絡(luò)帶寬保證的前提下，應(yīng)該盡量提升硬件配置。

二、有效的抗D思想及方案

硬碰硬的防御偏于“魯莽”，通過架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^載的流量，通過接入第三方服務(wù)識別并攔截惡意流量等等行為就顯得更加“理智”，而且對抗效果良好。

4. 負(fù)載均衡

普通級別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬個鏈接請求，網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，對DDoS流量攻擊和CC攻擊都很見效。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載，而通常這些網(wǎng)絡(luò)流量針對某一個頁面或一個鏈接而產(chǎn)生。在企業(yè)網(wǎng)站加上負(fù)載均衡方案后，鏈接請求被均衡分配到各個服務(wù)器上，減少單個服務(wù)器的負(fù)擔(dān)，整個服務(wù)器系統(tǒng)可以處理每秒上千萬甚至更多的服務(wù)請求，用戶訪問速度也會加快。

5. CDN流量清洗

CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)，依靠部署在各地的邊緣服務(wù)器，通過中心平臺的分發(fā)、調(diào)度等功能模塊，使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡(luò)擁塞，提高用戶訪問響應(yīng)速度和命中率，因此CDN加速也用到了負(fù)載均衡技術(shù)。相比高防硬件防火墻不可能扛下無限流量的限制，CDN則更加理智，多節(jié)點分擔(dān)滲透流量，目前大部分的CDN節(jié)點都有200G 的流量防護(hù)功能，再加上硬防的防護(hù)，可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了。這里我們推薦一款高性比的CDN產(chǎn)品：百度云加速，非常適用于中小站長防護(hù)。

6. 分布式集群防御

分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址，并且每個節(jié)點能承受不低于10G的DDoS攻擊，如一個節(jié)點受攻擊無法提供服務(wù)，系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。

三．預(yù)防為主保安全

DDoS的發(fā)生可能永遠(yuǎn)都無法預(yù)知，而一來就兇猛如洪水決堤，因此網(wǎng)站的預(yù)防措施和應(yīng)急預(yù)案就顯得尤為重要。通過日常慣性的運維操作讓系統(tǒng)健壯穩(wěn)固，沒有漏洞可鉆，降低脆弱服務(wù)被攻陷的可能，將攻擊帶來的損失降低到最小。

7. 篩查系統(tǒng)漏洞

及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補丁，對重要信息（如系統(tǒng)配置信息）建立和完善備份機(jī)制，對一些特權(quán)賬號（如管理員賬號）的密碼謹(jǐn)慎設(shè)置，通過一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。計算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。統(tǒng)計分析顯示，許多攻擊者在對企業(yè)的攻擊中獲得很大成功，并不是因為攻擊者的工具和技術(shù)如何高級，而是因為他們所攻擊的基礎(chǔ)架構(gòu)本身就漏洞百出。

8. 系統(tǒng)資源優(yōu)化

合理優(yōu)化系統(tǒng)，避免系統(tǒng)資源的浪費，盡可能減少計算機(jī)執(zhí)行少的進(jìn)程，更改工作模式，刪除不必要的中斷讓機(jī)器運行更有效，優(yōu)化文件位置使數(shù)據(jù)讀寫更快，空出更多的系統(tǒng)資源供用戶支配，以及減少不必要的系統(tǒng)加載項及自啟動項，提高web服務(wù)器的負(fù)載能力。

9. 過濾不必要的服務(wù)和端口

就像防賊就要把多余的門窗關(guān)好封住一樣，為了減少攻擊者進(jìn)入和利用已知漏洞的機(jī)會，禁止未用的服務(wù)，將開放端口的數(shù)量最小化就十分重要。端口過濾模塊通過開放或關(guān)閉一些端口，允許用戶使用或禁止使用部分服務(wù)，對數(shù)據(jù)包進(jìn)行過濾，分析端口，判斷是否為允許數(shù)據(jù)通信的端口，然后做相應(yīng)的處理。

10. 限制特定的流量

檢查訪問來源并做適當(dāng)?shù)南拗疲苑乐巩惓?、惡意的流量來襲，限制特定的流量，主動保護(hù)網(wǎng)站安全。

對抗DDoS攻擊是一個涉及很多層面的問題，抗DDoS需要的不僅僅是一個防御方案，一個設(shè)備，更是一個能制動的團(tuán)隊，一個有效的機(jī)制。我們都聽過一句話——god helps those who help themselves. 天助自助者。因此，面對攻擊大家需要具備安全意識，完善自身的安全防護(hù)體系才是正解。隨著互聯(lián)網(wǎng)業(yè)務(wù)的越發(fā)豐富，可以預(yù)見DDoS攻擊還會大幅度增長，攻擊手段也會越來越復(fù)雜多樣。安全是一項長期持續(xù)性的工作，需要時刻保持一種警覺，更需要全社會的共同努力。