问：如何有效减轻DDoS攻击？

    答：大部分网络都很容易受到各种类型的黑客攻击，但是我们可以透过一套安全规范来最大限度的防止黑客攻击的发生。但分布式拒绝服务攻击(DDoS)是一个完全不同的攻击方式，你无法阻止黑客对你的网站发动DDoS攻击，除非你主动断开互联网连接。

　　有效的减轻DDoS攻击，首先你应该清楚的了解DDoS攻击的三个阶段。

　　第一阶段：黑客会在对攻击目标进行锁定。这个被锁定的IP地址可能是企业的Web服务器，DNS服务器，网关等。

　　第二个阶段：黑客会入侵网络中存在隐患的计算机，黑客会在这些计算机中植入后门使其成为攻击者的肉鸡，为以后的攻击做准备。

　　第三个阶段：黑客会将攻击命令发送到所有被入侵的计算机(也就是俗称的僵尸计算机或肉鸡)，并命令这些计算机向攻击目标发送数据包，进而侵占整个网络的资源。

　　一些聪明的黑客还会在僵尸计算机中伪造发送攻击数据包的IP地址，并且将攻击目标的IP地址插在数据包的原始地址中，这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应，加重了目标主机的负载。

　　搞清楚攻击原理，我们可以来看看如何减少DDoS攻击造成的损害。

　　入侵过滤(Ingress filtering)是一种被广泛使用的安全策略。在网络边缘(比如每一个与外网直接相连的路由器)建立一个路由声明，将所有数据来源IP标记为本网地址的数据包丢弃，可以有效预防DDoS反射攻击行为。

　 　然而实际过程中，很多ISP因为各种原因没有进行入侵过滤，因此我们需要其它方式来降低DDoS带来的影响。目前最有效的一个方法就是散布反追踪模式 (backscatter traceback method)。要采用这种方式，首先应该确定目前所遭受的是来自外部的DDoS攻击，而不是来自内网或者路由问题。然后就要尽快在全部边缘路由器的外部 接口上进行配置，拒绝所有流向DDoS攻击目标的数据流。

　　另外，还要在这些边缘路由器端口上进行配置，将全部无效或无法定位的数据来源IP的数据包丢弃。比如以下地址：

    · 10.0.0.0 - 10.255.255.255
　　· 172.16.0.0 - 172.31.255.255
　　· 192.168.0.0 - 192.168.255.255

　　将路由器设置为拒绝这些资料包后，路由器会在每次拒绝数据包时发送一个Internet控制讯息协议(ICMP)包，并将“destination unreachable”目标不能到达信息和被拒绝的数据包打包发送给来源IP地址。

　　打开路由器日志，查看哪个路由器收到的攻击资料包最多，然后根据所记录的数据包来源IP确定哪个网段的资料量最大。在这个路由器上调整路由器针对这个网段状态，并对该网段做隔离措施。

　 　寻找这个网段的详细信息，联系ISP以及数据发送网段的ISP，将攻击情况汇报给他们，并请求协助。为让服务和合法流量通过，你可以将其它一些攻击情况 较轻的路由器恢复正常，只保留承受攻击最重的那个路由器，并拒绝攻击来源最大的网段。如果你的ISP和对方ISP很负责的协助阻挡攻击数据包，你的网络将 很快恢复正常。