大家都知道，如今网络上能下载到各种攻击程序，包括LOIC。Ng说：“能发起这类攻击的程序非常多，其中有些是合法软件，通过简单的搜索就能找到这些程序，但还是要看使用者是否将其用在合法用途上。另外还有很多非法的攻击程序，它们被设计出来的目的就是进行非法活动，通过僵尸网络等方式，这种程序能够实现相当高的攻击效率。”

　　DDoS攻击并不是什么新形式，而我们常常听到的是，网络罪犯的攻击手段不会总比网络防护手段更先进。

　　Ng说：“攻击者们总是在不断尝试用各种方法来获取他们所需的信息。这些方法从DoS攻击到利用各种系统漏洞，目的就是入侵目标系统。” 他认为，随着防护技术的不断进步，技术所能提供的最大防护程度也在增加，同时良好的补丁管理机制以及使用者对网络威胁的重视程度不断增加，都能很有效的提高系统安全等级。

　　但是Ng也表示，虽然能够通过支付费用提高系统的安全等级，但是确保系统不受到DDoS攻击是非常难的。他说：“网店需要审核网关和防火墙规则，确保这些设备能够处理每日都会出现的小规模的攻击，另外还应该有一套应急方案，应对大规模的攻击。类似的策略可以是更严格的包过滤规则，判断何时以及什么样的数据包该被丢弃，以及针对IP地址的规则，当出现明显攻击时将特定的IP地址列入黑名单。”

　　应用防火墙能否击败DDoS攻击?

　　网络安全专家表示，随着网络攻击方式越来越狡诈，以网络应用为主营业务的企业应该寻求更好的防火墙对自身进行防护，尤其是针对分布式拒绝服务攻击(DDOS)。

　　F5 Networks 科技公司总经理Vladimir Yordanov表示，超过80%的网络攻击是针对网络应用程序的，而传统的防护措施，诸如服务器周边的防火墙设备所能起到的防护作用很小。这就是为什么DDOS类的攻击总能成功击溃网站或支付系统的原因。

　　最近在接受ZDnet采访时，Yordanov解释说：“由于DDoS攻击所采用的访问请求很难与正常访问请求区别开，因此传统的防御系统，比如入侵预防系统或入侵检测系统很难阻挡住DDOS的攻击。”

　　一般来说，在应用防火墙允许请求进入系统前，会通过发送并响应cookie来判断该用户是否真实，以及该访问请求是否有效。而在最近很多DDoS攻击实例中，比如针对Paypal，MasterCard以及Visa网站所进行的攻击，都是通过僵尸网络中的肉鸡电脑发送的，而这些电脑并不能响应应用防火墙发送的查询请求。

　　据报道，这一系列网络攻击被称作“Operation Payback”，其目的是声援被羁押的维基解密创始人Julian Assange。而维基解密网站也由于美国和欧洲ISP，网络托管商以及支付供应商的退出而关闭。

　　作为对Wikileaks和Assange所受遭遇的报复，支持者们动用了超过3000台志愿电脑以及超过3万台肉鸡电脑对PayPal, MasterCard和Visa网站发动了DDoS攻击。

　　没有傻瓜式的解决方案

　　Yordanov指出，除了建立应用防火墙，企业能考虑的其它类型的防护手段包括利用ISP过滤非法网络请求后提供给企业接入的“清洁管道”以及采用更高级别的安全协议等。另外，企业还可以对网络协议进行修改，确保所有需要连接到服务器的请求都是预先核准的。

　　但是，随着技术的不断进步，黑客和网络罪犯们也在尝试各种方法来破坏系统，移动设备接入量的不断增加，加剧了安全人员进行系统防护的难度。 Yordanov认为，员工的分散程度越大，企业网络收到攻击的风险也就越大，因为很多网络罪犯正是利用了这种分散办公模式中存在的安全漏洞。

　　Yordanov表示，没有什么傻瓜式的解决方案能够百分百的安全，而能够想到的傻瓜式解决方案就只有关闭系统电源了。

　　他说：“与其看着系统被攻击，更好的办法就是彻底关闭系统。在以前，如果网管能够追踪IP地址，找出DDoS攻击的发源地，他们就可以将发源地的IP地址段列入黑名单，但这仅限于静态IP地址。而现在，越来越多的攻击采用变化频繁的地址，使得这种黑名单的方式也失效了。”

　　而Yordanov也提到了另一种不必关闭系统的方法，就是派人不断地监控网络流量，但是这需要大量的网络技术人员，并不适合中小企业。

　　尝试阻止DDoS攻击

　　度过了一个欢乐的春节假期，回来后发现网站挂了。估计这是所有系统管理员最不想看到的一幕。我在文章标题里很谨慎的用了“尝试”这个词，因为实际上，正如上面所说，目前还没有什么有效的方法能够真正预防或阻止大规模的DDoS攻击。不过还是有一些方法可以帮助我们应对DDoS攻击的。

　　注意，确实有一种方法可以终结大多数DDoS攻击。这需要所有基于Windows的僵尸网络都与根系统脱离。遗憾的是，这是不可能发生的。

　　Windows在设计时就被认为是不安全的系统，而目前世界上有数亿人在使用这一系列平台系统，其中很多人甚至连杀毒软件都不知道装一个。全球有数百万台安装有windows系统的电脑目前处于不同的僵尸网络控制下，甚至你的电脑也在其列。由于大部分人还不愿意抛弃windows系统，尤其是最近一两年，因此在僵尸网络驱动下的DDoS攻击仍然将会持续下去，并且我认为DDoS攻击将会越来越普遍。

　　不过，有些类型的 DDoS攻击已经越来越少见了。美国国土安全部网络和架构安全项目主管Sean Donelan 在North American Network Operators Group (NANOG，一个致力于建立骨干网和企业网络的组织)上的一封邮件里表示，“随着大部分路由器操作系统的升级，由SMURF发起的DDoS攻击看似已经有所缓解了。而随着SYN Cookies或类似操作系统的改变，使得由TCP SYN发起的DDoS攻击也看似得到了缓解。”

　　一句话，如果你将网关服务器，交换机，防火墙和其他网络设备都更新到了最新的操作系统版本，那么就可以抵御这些利用TCP/IP 和 TCP/IP 堆栈的弱点所发动的DDoS攻击。我相信大部分网管应该都已经这样做了，如果你还没有及时更新设备OS，那么立即去做。

　　当然，如果有人蓄意要攻击你的网站，那你所能做的防御措施也不多。德国网络安全公司Probe Networks的创始人Jonas Frey认为，面对DDoS攻击，网站的应对策略只有加大带宽。Frey解释说：“就算你的网站采用了 802.3ba with 40/100 Gbps (每秒GB级的吞吐量)，仍然不够用。因为如今的消费者所使用的终端带宽也比以往增加了，而通过恶意软件也可以轻松的建立一个有一定规模的僵尸网络。就算用户的平均带宽不超过2Mbps(每秒吞吐量)的上传带宽，那么整个僵尸网络中所有终端所发送来的数据流量也是惊人的。”如果所有windows系统都正确安装了补丁和杀毒软件，可能这种攻击会少一些，但是正如Frey所说的：“系统能打补丁，愚蠢的头脑不行。”

　　所以说，要为你的Web服务器留出尽量多的带宽。如果你使用的是Web服务器托管服务，那么就要检查一下托管商接入骨干网的数量和带宽。如果只有连接到一个或者两个骨干网，或者每个连接所提供的带宽太小，那么最好换别家试试看。在面对DDoS攻击时，最有效的抵抗方法就是增加带宽。

　　选播及负载分享

　　如果你的公司将网站存放在多个服务器上，那么可以通过使用选播和多播源发现协议(MSDP)帮助你抵御DDoS攻击。

　　选播是一种联网技术， 互联网上不同的位置可以拥有相同的IP前缀。用大家能理解的话来说，就是采用相同域名的不同服务器共享相同的IP地址。

　　当网站采用选播方式并被正确配置后，发生DDoS攻击时会出现这样的情况：网络收到页面请求，交换机检查距离最近的服务器是否正常工作，如果服务器由于DDoS攻击而没有正常工作，选播机制将自动将页面请求转发给下一个服务器。因此，如果你的服务器位于纽约，旧金山和伦敦，而DDoS攻击是来自美国东海岸的一个僵尸网络，那么DDoS攻击所带来的数据负载，将被自动分配给这几个服务器。

　　选播，或者其他负载分享技术并不能提供完美的防护能力。因为一次足够大规模的DDoS攻击可以将参与负载分享的所有服务器搞垮，就好像多米诺骨牌一样。这可不是件好事。

　　很多公司，比如 Arbor Networks, BlockDOS, 和 ServerOrigin，都提供DDOS防护服务，但是他们也不能提供完美的服务承诺。

　　而这些 DDOS 防护公司，比如刚才提到的BlockDOS和ServerOrigin，就是提供分布式服务器，利用选播技术为企业网络服务器提供攻击转移服务。如果你的网站没有优秀的管理员或没有足够好的服务器托管商帮你进行负载共享，你就需要这两家公司的服务了。 Arbor则是提供实时的网络分析服务器，这样你就能及时看到DDoS攻击波的到来，并在该公司的帮助下实施相应的防御。

　　在目前这种网络环境下，我们再尽力也只能这样了。正如Arbor Networks公司首席解决方案专家Roland Dobbins 所说的：“DDoS攻击只是表象，真正的问题根源是僵尸网络。”而僵尸网络的问题，不是一时半会儿就能彻底解决的。