何谓 Denial of Service?
　　为了更了解 DDoS 攻击，我们先回顾一下一个网络安全上的基本攻击方式--阻断服务(denial of service)攻击，只要攻击者企图阻止网络上某个资源被使用或是传送给使用者，都属于阻断服务攻击。例如攻击者剪断大楼的主要电话线路，或者入侵处理专用型交换机(PBX)的 switch，使得所有对外或对内的联机都中断。应用在计算机网络上，由于频宽、内存大小和硬件效能，router 或是网络上的 server 只能处理有限的需求，一但达到其上限，合法的流量也会被忽略，攻击者只要能送给目标特定的大量封包，就可达到阻断服务攻击的目的。
　　阻断攻击并不是用取得非法系统权限的方式，但一样是一种恶意的行为，因为造成了网络上的不便和混乱，当攻击者的目标是像根网络名称服务器(root name server)这样的重要主机，攻击就可产生十分严重的影响，一旦信息战争形成，这样的攻击可能会首当其冲，因为容易攻击，可是却十分难以防御。
　　何谓 Distributed Denial of Service(分布式阻断攻击)
　　本文所要讨论的是一种特殊的阻断服务攻击，此种攻击是许多不同的来源共同合作的协调式攻击(coordinated attack)，分布式阻断攻击(Distributed Denial of Service, DDoS)可以轻易地在大型网络上发动，而且效果十分惊人，比起传统的阻断攻击由单一攻击者发出，它采用的是多台主机，主从式(master-slave)的阶层架构。
　　攻击者入侵大量的网络主机后，在被害主机上安装 DDoS 程序，攻击者可以利用此程式远程控制被害主机，攻击者可以从一控制端控制每台主机的攻击目标和方向，单一的主机就可以控制上千台主机，包括开始时间、结束时间、攻击的地址和型态都可以透过网络来控制，用这样的方式，单一主机就可以产生极大量的网络流量，不论攻击的目标为何，这样大量的封包流量都足以产生毁灭性的破坏。
　　网络上的攻击技术不断变化，一旦有足够大量的主机，任何型态的攻击都会变得很有威力：例如在广播地址发动 ICMP 要求的 Smurf 攻击，假造的 HTTP request，经过切割的封包或是任意的流量，这些大量的封包会造成目标主机当机或是完全破坏服务的 QoS(Quality of Service)，这种攻击可以针对任何网络上的设备、路由器，提供各种服务的服务器，甚至特殊主机如防火墙或 IDS 都可能是目标。为什么 DDoS 这么棘手？巨大的网络流量显然各个管理者都会注意得到，可惜这些流量往往透过伪造的地址传送，检视这些封包只能察觉很有限的信息，所有的封包都看来合法，而其来源地址可能为任何一处，并没有明显规则可以让防火墙来防止这样的攻击发生。
　　我们可以做的，是对于整个攻击的监控和调查，这将是一连串令人泄气的工作，处理这些恶意封包所流经的网络管理者都应该被告知及警告，并分析这些恶意封包，特别是当这个时候网络几乎无法使用，这样的工作会更加耗时。事实上由于受害主机可能位于任何一处，DDoS 的停止往往都是攻击者的决定，而不是被害的系统管理者所能做的处理。
　　在攻击下存活有些方法可以减低分布式阻断攻击的影响，如之前提到，应该做的就是对攻击加以调查，当知道你所管辖网域的 edge router 是收到由哪个 core router 所发出的流量，告知该 router的管理者(可能是某个 ISP 业者或某家电信公司)，并寻求协助，由上游管理者找出流量来源，并进一步通知。对于一般网管人员来说，这就已经超过其管辖范围了。
　　在这段时间内，还有什么是我们可以做的呢？
　　如果被攻击目标是单一机器，变换其 IP 地址可以暂时缓和攻击，最近的 DNS 服务器会更新新的地址，让少数重要客户能得到服务，这样的方法并不聪明，却是一个很快就能达成的解决方案，这样的方式特别适合当受攻击目标是网络中重要服务主机，如mail server 或 DNS server 之时。
　　过滤技术或许帮得上忙。如果攻击手法不太复杂，由产生的流量就可以找出规则来，仔细观察所抓取的封包，可以从中看出防火墙的 ACL(access control list)或比对规则的特性。再者，如果发现大量封包来自某个特定的来源或是 core router ，就可以考虑暂时把那边的流量阻挡起来；当然这样做一定也阻挡了某些真正合法的流量，这是不可避免的。
　　对于拥有较大网络流量的大公司，可以考虑购买大于使用量的网络设备， 作为遭受攻击的缓冲之用，这样的做法只是一时的应急，而不是根本解决问题。再次强调，对于DDoS
　　的调查和追踪应该要立刻执行，网络的上游单位、ISP和所有相关单位的电话、书信往返是不可避免的，就是因为这是耗时的工作，更应该立即着手。
　　防治攻击
　　DDoS 只能透过网络上团体共同合作，制定更严格的网络标准来解决。首先，不论是系统管理者或是家庭用户使用者都要能确保其机器是安全的，autorooter 程序会扫描网络上数以千计的主机，并攻陷有弱点的机器，在上面安装 slave 软件，所以时常更新系统和软体，关闭不需要的服务，执行防火墙基本的过滤功能，都能够帮助防止您的机器参与DDoS
　　攻击。
　　想杜绝 DDoS 有一个很棘手的关键在于假造 IP 的问题，利用router 上的过滤功能就可以达到此目的，对于网域的 core router 和border router来说，如果其来源地址是在
　　所属网域的范围之外，显然就是有问题的封包，假造的封包应该在达到网络骨干或是 core router之前就被丢弃，否则就太晚了，如果网管人员都能够执行这种过滤动作，假造IP 的动作几乎是不可能达成的，如此一来可以大大减低 DDoS 的调查和追踪所需时间，可惜目前大部分的网域并没有这重要的封包过滤功能，假造 IP 的封包依然存在。
　　对付 DDoS，网域之间的联络是很重要的，目前有些研究计画就是针对相邻网域间如何适当联系，您应该在适当地方保存与您的 ISP 的联络方法，了解ISP 业者在骨干网络上是
　　否有针对 DDoS 的防御计画。某些 ISP 业者会在网络的某些节点放置 sensor 来侦测突然的巨大流量，可以有效提前警告并隔绝DDoS 的受害区域，在建构网络时，这也可作为选择ISP 业者的参考依据。
　　结论
　　DDoS 攻击容易发动却不容易防守，唯有靠网络团体制定更严格的网络标准才能杜绝，最好的防御就是预先得知攻击的来临，您应该有一个面对DDoS 来临时应变的方案。建议您过滤网域封包以防止您管辖的网域内的主机参与这样的攻击。