DDoS 響應

DDOS攻擊可以通過多種方式進行，主要包括通過 SYN 淹沒、UDP 淹沒、Teardrop 攻擊、循環 Ping、Smurfing、郵件炸彈等，DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。它是利用合理的服務請求來占用過多的服務資源，從而使服務器無法處理合法用戶的指令。

下圖顯示了典型 DDOS 攻擊的原理：

在金錢或滿足感的驅使下，Botmaster 通過命令和控制服務器將指令中繼到 Bot，后者同時將偽裝流量發送到受害者以干擾服務。在試圖處理數據包或請求時，系統會消耗所有的可用資源，甚至還會崩潰或無法響應請求。

ISP 可以用來減少攻擊的第一種方法是重定向或黑洞路由：

實施這種方法時，發送到受感染計算機的地址的所有流量都被轉發到“棄牌區”。通過此種方式配置的任何路由器將攔截發送到受感染計算機的所有流量(無論是正常流量還是攻擊流量)。如果電子商務網站的用戶幾乎全部是國內消費者，那么在internet邊界實施黑洞機制可能是個好臨時解決方案。此方法可將帶寬釋放，并允許常規用戶使用其資源。但 Botnet 不會真正受到影響，國內的 Bot Bot 仍然可以進行攻擊。但是，在本例中，我們預期剩余的DDOS 攻擊將不會對受害的計算機產生很大影響。

更有效的解決方案是過濾：

通過數據包過濾，我們可將攻擊數據包與正常數據包區分開。只有正常數據包才允許傳輸到接收者。但是，傳統的數據包過濾不足以減少那些動態或快速更改其配置的 Botnet。使用合法服務的淹沒攻擊通常能夠得手。IP 協議和轉發機制使得 ISP 很難識別數據包的真正來源。此外，DDOS 攻擊者可以使用偽造的 IP 地址。為了彌補這個漏洞，我們可以采用第三種技術：追溯(traceback)。

使用 IP 追溯機制，我們可以找到攻擊的真正來源。我們可以確定攻擊的來源(或鄰近位置),并在最接近來源的位置攔截攻擊。

速率限制是另一種有效技術。它對具有惡意特征的數據流的高帶寬傳入流量實施速率限制：

流量(無論是正常流量還是攻擊流量)都可能受到速率限制。發生誤報的可能性也非常高。

DDos攻擊技術不斷地在提高，我們唯有徹底的了解其攻擊過程或原理，才能采取爭取手段將其打退，在以后的文章中我們還將詳細的向大家介紹有關DDos相應的知識。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]