DDoS 的攻击鉴赏下章

语音部分

需要手动点击播放：

文字部分

DDoS 攻击还有一些其它的方式，这里就不再一一列举了。但所谓有攻就有防，哪有压迫哪里就有反抗，所以有哪些应对 DDoS 攻击的方法呢？目前有两种大方向。激进的手术治疗以及稳妥的保守治疗。

捣毁僵尸网络并让用户做好个人防护。避免被感染成为僵尸设备是种很好的方法，但这是需要长期持续进行的方案。

我们举两个典型的在技术层面上根治 DDoS 攻击的方法，从 DDoS 的攻击原理上我们可以看出，伪造 IP 地址是 DDoS 攻击的核心技术之一，一旦攻击者无法伪造 IP 地址，那几乎就形同强弩之末。

而治理伪造 IP 方法并不复杂，现代互联网的下游，也就是用户设备接入的一端，设备通过路由接入互联网服务提供商。

所以只要让路由设备检测 IP，把源地址 IP 不属于本路由所在网段的数据都过滤掉，这样试图伪造 IP 的流量就无法发出了。

还有一个稍微复杂一点的分布式过滤方案。我们知道在庞大的互联网中，不同的网段依靠路由把彼此连接，一个数据从 A 发送到 B，它的 IP 可伪造成 C，但它所经过的真实路线则不可能作假。

换句话说，从 C 到 B 的数据不可能经过某路由器，但这个伪造 IP 数据从 A 发送到 B 却经过了某路由器，如果该路由能够根据 IP 地址的路径逻辑检测出矛盾，那就可以过滤掉这样的流量，从而消灭伪造 IP 的伎俩。

当然一个涉及到用户的服务商设备商，甚至是监管部门的多方技术方案，那就不能只是一个技术问题。

这两种方案很难被执行，只有一定影响力的大型企业和机构才能撬动这种涉及全球的多方合作，对于中小企业甚至是刚起步的创业者来说并不现实。

所以人们提出一些大家都能够承担得起的缓解 DDoS 攻击的保守治疗方案，我们列举两个目前使用比较多的方法。

DDoS 攻击的可怕之处在于 D 分布式，当多个僵尸网络对目标发起攻击时很难处理这些来自四面八方的流量，那作为守法公民我们又何尝不能联合起来，把一个网络服务的流量分散到不同的地方，从而稀释攻击流量。

比如目前各个站点普遍采用的 CDN 技术，把一些相对静态的资源作为缓存分发给各个 CDN 节点，用户在请求的时候从最近的节点返回，这样就在一定程度上缓解了 DDoS 的攻击。

当然 CDN 的缓解作用比较有限。有一种目前比较主流的，并有一些厂商专门为此开发产品方案：流量清洗。

我们在服务器前架设一台流量清洗的设备，这个设备就像一个身高马大的保镖和秘书，帮我们对抗 DDoS 流量。

比如面对 TCP 协议的 SYN 洪水 DDoS 攻击，客户端发起的 SYN 先经过清洗设备，由清洗设备回复 SYN+ACK，如果对方应答了那说明是正常的流量，清洗设备再把本次的连接交给后方服务器正常通信。

如对方不应答，则清洗设备该重试重试，超时后就断开连接。但清洗设备因人高马大，且作为专门应对攻击的角色，对连接资源做了极大的专门优化，能应对极其海量的连接请求，所以攻击者想通过 SYN 洪水打垮它非常困难。

比如威胁极大的 HTTP 洪水攻击，正常来说一个 HTTP 请求很难用传统方式检测出是恶意流量还是正常流量，而清洗设备往往会提供专业流量清洗平台，这些专业做流量清洗的服务商通过多年和 DDoS 攻击的对抗，积累大量的经验和技术。

比如由于 HTTP 无法伪造 IP 地址，所以通过多年数据积累建立 IP 信用库，从那些经常发起攻击的 IP 发来的流量就会被过滤掉。这有点像现在安卓手机上的来电标记，这就是流量清洗厂商在数据积累上的优势。

再比如恶意流量由于是通过程序自动发出，而不是人类的操作，所以利用算法对流量进行模式的识别，就可以被检测出来，这就是流量清洗厂商在技术上的优势。

但不论怎样 DDoS 作为一种历史悠久，但破坏能力巨大的黑客攻击手段，时至今日仍无法被彻底解决。

或许可以说 DDoS 攻击源自于互联网通信构架在设计之初考虑的缺失，而人们现在又缺乏壮士断腕的决心从根本上消灭它。

但不论怎样这种破坏与对抗将长久地存在于互联网世界之中，而我们能做的只是做好防护保持警惕！