互联网企业遭到DDOS攻击如何最大限度减轻危害和影响？

很多互联网企业都有遭到过网络攻击的经历，常规的网络攻击可以通过部署一套安全防护系统来最大限度的防止攻击发生。但DDoS攻击是一个完全不同的攻击方式，你无法阻止黑客对你的服务器发动DDoS攻击，除非你主动断开互联网连接。如果我们无法防止这种攻击，那么怎么做才能最大限度减轻DDOS攻击对企业造成的危害和影响？首先应该清楚的了解DDoS攻击的三个阶段，然后再学习如何将这种攻击的危害降到最低。 
 
黑客发起DDoS攻击一般分为三个阶段：

第一阶段是目标确认：黑客会在互联网上锁定一个企业网络的IP地址。这个被锁定的IP地址可能是企业的Web服务器，DNS服务器，互联网网关等。而选择这些目标进行攻击的目的同样多种多样，比如为了赚钱(敲诈勒索)，同行竞争或者只是以破坏为乐。 

第二个阶段是准备阶段：在这个阶段，黑客会入侵互联网上大量的没有良好防护系统的计算机(除了传统的PC电脑外，各种智能物联网设备都可以成为入侵目标)。黑客会在这些计算机中植入日后攻击目标所需的工具。 

第三个阶段是实际攻击阶段：黑客会将攻击命令发送到所有被入侵的计算机(也就是僵尸计算机，俗称“肉鸡”)上，并命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包，导致目标服务器带宽被占满或无法处理大量的数据而宕机。 

“厉害”点的黑客还会让这些僵尸计算机伪造发送攻击数据包的IP地址，并且将攻击目标的IP地址插在数据包的原始地址处，这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应，更加重了目标主机所承受的数据流。因此，我们无法阻止这种DDoS攻击，但是知道了这种攻击的原理，我们就可以尽量减小这种攻击所带来的影响。 

减少攻击影响 
入侵过滤(Ingressfiltering)是一种简单而且所有网络(ISP)都应该实施的安全策略。在你的网络边缘(比如每一个与外网直接相连的路由器)，应该建立一个路由声明，将所有数据来来源IP标记为本网地址的数据包丢弃。虽然这种方式并不能防止DDoS攻击，但是却可以预防DDoS反射攻击。 

减轻DDoS攻击危害 
但是很多大型ISP好像都因为各种原因拒绝实现入侵过滤，因此我们需要其它方式来降低DDoS带来的影响。目前最有效的一个方法就是反追踪(backscattertracebackmethod)。 要采用这种方式，首先应该确定目前所遭受的是外部DDoS攻击，而不是来自内网或者路由问题。接下来就要尽快在全部边缘路由器的外部接口上进行配置，拒绝所有流向DDoS攻击目标的数据流。另外，还要在这些边缘路由器端口上进行配置，将全部无效或无法定位的数据来源IP的数据包丢弃。
 
DDoS攻击是目前互联网最常见也是最难预防的网络攻击之一，由于DDOS攻击是利用网络协议漏洞而发起的，所以无法做到完全避免（除非你断网），但是可以通过以上方式及时减轻这种攻击对网络的影响。同时可以通过接入墨者盾高防CDN，将服务器源IP隐藏，智能识别攻击流量，事前拦截，事后溯源，全方位防黑，保障服务器稳定运行。


关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDOS攻击防御。