應對DoS/DDoS攻擊的十條軍規

DoS是“拒絕服務”（Denial of Service）的縮寫，它是指故意攻擊網絡協議的缺陷或直接通過野蠻手段耗盡受攻擊目標的資源，目的是讓目標計算機或網絡無法提供正常的服務，甚至系統崩潰。早期的DoS攻擊都需要相當大的帶寬資源來實現，而以個人為單位的“入侵者”往往沒有這樣的條件。但是后來攻擊者發明了分布式的攻擊方式，即利用工具軟件集合許多的網絡帶寬來同時對同一個目標發動大量的攻擊請求，這就是DDoS（Distributed Denial Of Service）攻擊。簡而言之，DDoS攻擊是由“入侵者”集中控制、發動的一組DoS攻擊的集合，非常難以抵擋。

很多企業網站和個人網站都不止一次地遭遇過DoS/DDoS攻擊，由此也積累了一些“亡羊補牢”的經驗。前車之鑒能夠提醒我們注意：“為什么我們這樣容易受到攻擊？如何才能防患于未然降低受攻擊的風險？”下面列出的就是筆者收集的十個預防、應對DoS/DDoS攻擊的有效方法：

1. 保留并定期查看各種日志以助分析各種情況。

日志看起來很枯燥，而且絕大多數時候沒什么作用；可一旦意外發生，它就能為你提供很重要的信息參考，每天下班前看一眼日志吧。

2. 預先建立標準操作規程和應急操作規程。

前者簡稱SOPs，后者是EOPs，預先建立好規程并且處變不驚是一個合格網管員的基本素養。

3. 要有居安思危的思想準備。

遭遇攻擊往往沒有先兆，有備無患才是長治久安之計。

4. 網管員必須熟悉所有的配置細節。

如果你是半路接手工作，一定要向前任咨詢、核對清楚所有的工作細節。

5. 在本地和外網分別進行安全性測試。

“自測”不僅是演習，多給自己出一些安全性測試的難題能起到知己知彼的效用。

6. 提防錯誤配置造成的隱患。

錯誤配置通常發生在硬件搭配、服務器系統或者應用程序中，有時候問題還很隱蔽。通過反復檢查來確保路由器、交換機等網絡連接設備和服務器系統都進行了正確的配置，這樣才會減小各種錯誤和入侵、攻擊發生的可能性。

7. 要熟悉過去的一些配置細節。

8. 一旦發現異常，要時刻警惕。

網管員最要不得的就是麻痹大意，凡事將就。

9. 把握好網絡架構的繁簡程度和系統開銷、安全風險之間的平衡。

一味地添加設備并不等同于提高防護機制，網絡系統一樣是因簡就奢易，因奢就簡難。

10. 通過安全防護來降低黑客攻擊的風險，比如安裝防火墻等安全設備

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]