企業在網絡中不僅要面對病毒木馬的襲擊，還要面臨網絡中各種各樣的攻擊。其中危害最大的莫過于DDOS攻擊，對于此類攻擊很多企業是束手無策，有的只依賴于硬件防DDOS防火墻來抵擋強大的攻擊。但是據一個企業網管多年的抗戰經驗來說：硬件和策略結合之道才能讓DDOS攻擊由強變弱。

DDOS攻擊原理

知已知彼方能百戰百勝，在談如何防止DDOS之前，有必要先了解一下DDOS是如何實現強化攻擊的。DDOS攻擊就是利用計算機中的協議漏洞，模擬正常的數據流向目標機發送大量數據包，造成三次握手多隊列等待，讓目標計算機處在一種處理再處理狀態，隨著來訪的數據包越來越多，目標機的處理隊列越排越長，最終死機崩潰。而這些數據包的形成，則不是一臺兩臺計算機能夠完成的。那么攻擊者是如何組建龐大的計算機群集來對目標發動大規模的攻擊呢?

對于一個黑客高手來說，在網絡中抓肉雞那是相當簡單的。通常方法為：通過計算機的漏洞利用工具進行大范圍的掃描入侵，一但入侵成功后，黑客會在計算機中種下后門木馬并通過控制木馬上傳一個DDOS攻擊軟件到計算機中，此時一臺肉雞形成。黑客找肉雞下木馬的軟件效率十分驚人，利如NB自掃描種植軟件一天內能描上千臺肉雞。將這些肉雞集中起來，統一控制即形成龐大的僵尸網絡。如果此些肉雞在同一時間內通過DDOS軟件對某臺目標機一起發起數據包訪問，那么即形成可怕的DDOS攻擊流，由于這些數據包來自網絡各地，因此從根本上來講很難預防。

從攻擊目標上看，很多 DDoS 攻擊的目的讓網絡應用負載過大。只要網絡中的應用服務器存在漏洞，很有可能成為黑客構建僵尸網絡的傀儡機，如有利可圖，還有可能成為 DDoS 攻擊目標，以求從中獲利，形成黑客產業鏈。

 #p#

DDOS硬件防范

看完了DDOS的形成于攻擊原理后，很多企業網絡管理人員會感到DDOS太可怕了，想要防御根本無從下手，因為這些數據包傳遞的IP地址不是一個，而是成千上萬個，如果單一的憑手工進行IP地址的數據包丟棄，那肯定是無法達到效果的。于是想到了硬件防范方法。

目前通常的硬件防DDOS都從理論上能達到抗DDOS的目的，其原理大多數都是對數據包采用核心算法，精確算出數據包的危害性，有效防止連接耗盡，主動清除服務器上的殘余連接。不過當企業網絡受到大于自身網絡寬數倍的網絡數據包請求時，硬件防DDOS也顯得心有余而力不足了。

在硬件防DDOS問題上企業可以根據自身所購買的防DDOS產品手冊操作進行即可，這里不在占用篇幅。#p#

企業2003服務器防DDOS設置

作為企業服務器，一般的策略肯定要比網內的用戶機器嚴格的多。但是雖然多，如果不進行專業的抗DDOS配置，那么當DDOS來襲時，也將束手無策。下面以2003系統為例進行講解。

由于DDOS攻擊占用SYN緩存，因此可以從這上面著手對注冊表進行如下修改，即能達到防御DDOS的目的。其步驟如下：

一：“開始->運行->輸入regedit”進入注冊表編輯器。

二：找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在其下的有個SynAttackProtect鍵值。默認為0將其修改為1。

三：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值，將其修改為0。該設置將禁止SYN攻擊服務器后強迫服務器修改網關從而使服務暫停。

四：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery鍵值，將其修改為0。這樣可以限定攻擊者的MTU大小，降低服務器總體負荷。

五：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設置為300,000。將NoNameReleaseOnDemand設置為1。

利用硬件配合軟件的方式進行了防DDOS相關設置后，通過進行以上注冊表的修改，調整了SYN-ACKS的重新傳輸的問題，并且將DDOS攻擊數據包響應時間縮短，企業服務器從整體上提高了防御力。但是這只是緩兵之際，并不能從根本上瓦解DDOS攻擊，因此要想從源頭上解決此事，還得往下看。#p#

作為一個企業服務器管理者

要想從源頭上防止DDOS攻擊，那么就得具備發現攻擊的能力，其要掌握的要領如下：

在采用硬件防DDOS設備后，還要架設起路由負載均衡設備，因為服務器受到攻擊時，首先位于節點的路由會最先受到傷害，導至路由當機，此時部署好的負載均衡會自動接手工作，可以很大程度的削減了DdoS的攻擊，給企業服務器管理者提供更多的時間對抗。

在做完上述硬設備后。企業服務器管理者可以進行除必須開放的端口以外的端口屏蔽二套策略，以用在發生DDOS攻擊時啟用。常用到的工具有Inexpress、Express、Forwarding等。另外可以使用Unicast Reverse Path Forwarding通過反向路由器查詢的方法檢查訪問者的IP地址真假問題從而進行屏蔽。另外還要定期對服務器進行掃描清查漏洞，發現漏洞節點后，要即時作出補丁處理。

編者按：

對于DDOS攻擊，企業服務器做好上述的各項設置后，可以將DDOS攻擊危害降低，然后爭取時間通過邊接收數據邊屏蔽的策略辦法，進一步化解DDOS危害，從而實現企業服務器安全的根本目的。

【編輯推薦】

1. DDoS攻擊移師云計算(1)
2. DDoS防御進入“云”清洗階段
3. 對話首席安全官 研究者從DDoS手法中學到了什么？