防止DDoS攻击

　　防止DDoS攻击,　　想防止DDoS攻击，长期的解决办法就是加强攻击者用来发动攻击的互联网协议，并且要求升级系统，以便得益于最佳实践。比如说，许多DDoS攻击之所以能得逞，就是因为攻击者通常借助上当受骗的源IP地址来生成流量。IETF Best Common Practices文档BCP 38建议：网络操作人员应对从下游客户进入其网络的数据包进行过滤，丢弃源地址不在其地址范围内的任何数据包。这样可以让黑客无法发送声称来自另一个网络的数据包(即欺诈攻击)。不过，按BCP 38的要求来做需要一笔支出，却没有立竿见影的效果，因而尽管有益于更广泛的社区，却没有全面实施起来。,　　网络管理员们可以确保自己遵守其他最佳实践，从而加强互联网的总体安全。比如说，他们应该熟悉国土安全部颁布的DDoS快速指南(DDoS Quick Guide)，还应该落实开放解析器项目(Open Resolver Project)等项目给予的建议。开放解析器可以回复针对域外主机的递归查询，因而用于DNS放大DDoS攻击中。该项目已列出了2800万个构成重大威胁的解析器，并提供了详细指导，教人们如何配置DNS服务器，以减小DNS放大攻击的威胁。,　　与往常一样，若能确保已安装了软件的最新版本，系统不大容易受到黑客的攻击，黑客经常企图利用其资源作为DDoS攻击的一部分。比如说，务必要更新运行BIND的DNS服务器，因为互联网系统联盟(Internet Systems Consortium)现在已将响应速率限制(RRL)添加到最佳版本中。RRL可以检测表明存在滥用现象的模式，从而有助于缓解DNS放大攻击，并减少发送回复的速率。另外务必要更新网络时间协议(NTP)服务器，因为4.2.7之前的所有版本都很容易被用于NTP放大攻击中。,　　虽然金融机构等大企业是某些攻击者眼里的明显目标，但它们至少有财力和资源来采用最新的安全技术和最佳实践。不过，资源有限的小企业仍然面临可能很强大的对手。这也是谷歌启动护盾项目(Project Shield)的原因之一：好让那些运行新闻、人权或选举方面网站的组织机构可以通过谷歌庞大的DDoS缓解基础设施来发布其内容。这种类型的计划主要旨在确保潜在的受害者有足够的资源来抵御攻击，从而消除DDoS攻击的影响。,　　全面共享DDoS缓解资源、实施行业最佳实践可能很费时间和资源，而且可能无法立即带来回报，但是互联网是个整体性的社区项目，打击DDoS攻击是大家共同的责任。除非人人都出一份力，否则再多的计划也无法让我们摆脱该死的DDoS攻击。,
,