到目前為止，進行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個形象的比喻：DDoS就好象有1,000個人同時給你家里打電話，這時候你的朋友還打得進來嗎？

    不過即使它難于防范，也不是說我們就應該逆來順受，實際上防止DDoS并不是絕對不可行的事情�；ヂ�(lián)網(wǎng)的使用者是各種各樣的，與DDoS做斗爭，不同的角色有不同的任務。我們以下面幾種角色為例：

• 企業(yè)網(wǎng)管理員
• ISP、ICP管理員
• 骨干網(wǎng)絡運營商

企業(yè)網(wǎng)管理員

    網(wǎng)管員做為一個企業(yè)內部網(wǎng)的管理者，往往也是安全員、守護神。在他維護的網(wǎng)絡中有一些服務器需要向外提供WWW服務，因而不可避免地成為DDoS的攻擊目標，他該如何做呢？可以從主機與網(wǎng)絡設備兩個角度去考慮。

主機上的設置

    幾乎所有的主機平臺都有抵御DoS的設置，總結一下，基本的有幾種：

• 關閉不必要的服務
• 限制同時打開的Syn半連接數(shù)目
• 縮短Syn半連接的time out 時間
• 及時更新系統(tǒng)補丁

網(wǎng)絡設備上的設置

    企業(yè)網(wǎng)的網(wǎng)絡設備可以從防火墻與路由器上考慮。這兩個設備是到外界的接口設備，在進行防DDoS設置的同時，要注意一下這是以多大的效率犧牲為代價的，對你來說是否值得。

１.防火墻

• 禁止對主機的非開放服務的訪問
• 限制同時打開的SYN最大連接數(shù)
• 限制特定IP地址的訪問
• 啟用防火墻的防DDoS的屬性
• 嚴格限制對外開放的服務器的向外訪問

    第五項主要是防止自己的服務器被當做工具去害人。

２.路由器

    以Cisco路由器為例

• Cisco Express Forwarding（CEF）
• 使用 unicast reverse-path
• 訪問控制列表（ACL）過濾
• 設置SYN數(shù)據(jù)包流量速率
• 升級版本過低的ISO
• 為路由器建立log server

    其中使用CEF和Unicast設置時要特別注意，使用不當會造成路由器工作效率嚴重下降，升級IOS也應謹慎。路由器是網(wǎng)絡的核心設備，與大家分享一下進行設置修改時的小經(jīng)驗，就是先不保存。Cisco路由器有兩份配置startup config和running config，修改的時候改變的是running config，可以讓這個配置先跑一段時間（三五天的就隨意啦），覺得可行后再保存配置到startup config；而如果不滿意想恢復原來的配置，用copy start run就行了。

ISP / ICP管理員

    ISP / ICP為很多中小型企業(yè)提供了各種規(guī)模的主機托管業(yè)務，所以在防DDoS時，除了與企業(yè)網(wǎng)管理員一樣的手段外，還要特別注意自己管理范圍內的客戶托管主機不要成為傀儡機�？陀^上說，這些托管主機的安全性普遍是很差的，有的連基本的補丁都沒有打就赤膊上陣了，成為黑客最喜歡的"肉雞"，因為不管這臺機器黑客怎么用都不會有被發(fā)現(xiàn)的危險，它的安全管理太差了；還不必說托管的主機都是高性能、高帶寬的-簡直就是為DDoS定制的。而做為ISP的管理員，對托管主機是沒有直接管理的權力的，只能通知讓客戶來處理。在實際情況時，有很多客戶與自己的托管主機服務商配合得不是很好，造成ISP管理員明知自己負責的一臺托管主機成為了傀儡機，卻沒有什么辦法的局面。而托管業(yè)務又是買方市場，ISP還不敢得罪客戶，怎么辦？咱們管理員和客戶搞好關系吧，沒辦法，誰讓人家是上帝呢？呵呵，客戶多配合一些，ISP的主機更安全一些，被別人告狀的可能性也小一些。

骨干網(wǎng)絡運營商

    他們提供了互聯(lián)網(wǎng)存在的物理基礎。如果骨干網(wǎng)絡運營商可以很好地合作的話，DDoS攻擊可以很好地被預防。在2000年yahoo等知名網(wǎng)站被攻擊后，美國的網(wǎng)絡安全研究機構提出了骨干運營商聯(lián)手來解決DDoS攻擊的方案。其實方法很簡單，就是每家運營商在自己的出口路由器上進行源IP地址的驗證，如果在自己的路由表中沒有到這個數(shù)據(jù)包源IP的路由，就丟掉這個包。這種方法可以阻止黑客利用偽造的源IP來進行DDoS攻擊。不過同樣，這樣做會降低路由器的效率，這也是骨干運營商非常關注的問題，所以這種做法真正采用起來還很困難。

    對DDoS的原理與應付方法的研究一直在進行中，找到一個既有效又切實可行的方案不是一朝一夕的事情。但目前我們至少可以做到把自己的網(wǎng)絡與主機維護好，首先讓自己的主機不成為別人利用的對象去攻擊別人；其次，在受到攻擊的時候，要盡量地保存證據(jù)，以便事后追查，一個良好的網(wǎng)絡和日志系統(tǒng)是必要的。無論DDoS的防御向何處發(fā)展，這都將是一個社會工程，需要IT界的同行們來一起關注，通力合作。 (T101)