兵来将挡水来土掩 五利器绝杀DDOS攻击

越来越多的人逐渐意识到，DDoS分布式拒绝服务攻击时时刻刻都有爆发的可能，在这种防不胜防的情况下，与其加强人们如何防范的意识，倒不如给人提供反击绝招来的更为务实。本文，将会给大家介绍五大步骤来应对DDoS攻击。

在虚拟化时代，各种用户的不同业务共处在相同的物理机平台，遭受DDoS攻击的可能性越来越高，而且一个用户被攻击可能牵扯到大量的其他用户，危害被显著放大，因此如何防范DDoS攻击显得尤为重要。

一、集中收集数据并富有远见卓识

看起来会比较空洞，但确实是确保安全的不二法则，因为当DDoS攻击的时候，你往往只能束手就擒。根据以往经验，DDoS攻击发生时往往是首先接到电话反馈才察觉到。因此，我们需要做收集如下数据：

1、网络回路的带宽，点对点连接状况等；

2、服务器状况监视：CPU负载、网络和磁盘I/O，内存占用等；

3、如果是网站的话，还需要了解URL访问请求数据包。

以上都是帮助发现问题最基本的征兆数据，这些数据应该制定一个集中收集并以工作日志多形式记载下来，从而在系统平台中进行横向对比，尽早发现问题。这种做法对于那些很隐秘的复杂DDoS攻击很有效，因为网络、服务器、系统总是会出现数据上体现的差异。

监控需要具备多层监控、纵深防御，从骨干网络、IDC入口网络的BPS、PPS、协议分布，负载均衡层的VIP新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态，到业务层的业务处理量、业务连通性等多个点部署监控系统。利用多个监控点信息，准确判断被攻击目标和攻击手法。

二、确定一个清晰的升级路径

当检测到DDoS攻击之后我们接下来该做什么呢？是否知道有人打电话寻求备份和技术支持？在现场是否有可用的工具加以应对？如果购买了DDoS防护解决方案，如何启用这些方案呢？

以上都是应该在发生攻击之前就应该想到的。在攻击发生的时候，人们通常不太沉着冷静，不过事先确定一个清晰的升级路径却也不失为一个好方法。

三、使用分层过滤

分层过滤是抵御DDoS攻击的重要法宝，企业组织必须具有网络边界解决方案，以积极地处理隐秘、复杂的应用层威胁，还必须利用基于云的服务提供商提供DDoS 保护服务，以减轻大的攻击。理想的情况是这两个组件一起工作并提供完整、集成、自动化的保护系统，从而使其免受DDoS 威胁的影响。

四、地址应用和配置问题

不仅DDoS攻击会利用网络和安全基础设施的瓶颈，它们也擅长于确定应用程序中的问题，尤其是性能调优和配置方面。如果你没有对应用负载适当进行测试，那么DDoS攻击将会成为网站或者应用程序工作负载的首轮测试。

五、保护你的DNS域名系统

这个是至关重要但同时也是最容易被忽视的问题。你必须要在企业内部建立DNS服务，那么一定要制定一个针对DNSDoS攻击的应对策略。比如在不同地点建立多个DNS服务器,使用强化或专用的DNS服务器或应用程序并采用独立的互联网连接线路。