网络如何应对DDoS攻击

某公司网络系统受到DDoS攻击，其攻击流量高达60～70Mbps，攻击报文到达11万pps，如下图所示：

图一  攻击流量示意图

从上图可以看出，从Internet而来的流量（绿色）中只有很少部分流量是用户正常流量（篮线），篮线以上部分为DDoS攻击流量。如果对于带宽比较紧张的市公司来说，无疑会形成严重的网络拥塞，造成大面积的用户投诉。

攻击报文分析

针对图二的攻击流量，在所接网吧交换机进行端口镜像后抓包，下图为攻击包解析截图。

图二  攻击报文分析图

可以看出，此攻击为攻击机发送大量无标志位（标志位设置为全0，图中红框重点标出）的畸形tcp报文。用大量发包的方式来耗尽网吧服务器资源，导致网吧不能正常上网。

攻击防范措施

1．在遭遇DDoS攻击时，通常会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向，将其丢弃在一个数据“黑洞”中，以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃，业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用，拒绝为合法用户提供接入。这样做的结果很明显，就是“因噎废食”，可以说是恰恰满足了黑客的心愿。

2．安装专业防火墙进行非法流量过滤

在上述攻击实例中，我们架设了防DDoS攻击设备进行非法流量的过滤，拓扑图如图三所示，起到了不错的效果，保护了网吧的正常营业，但是攻击流量一直流向到防火墙，占用城域网带宽严重。

图三  DDoS防火墙安装示意图

3．对于用户来说，正常业务的开展是最根本的利益所在。随着大家对Internet的依赖性不断增加，DDoS攻击的危害性也在不断加剧。我们只能建议和呼吁：及早发现系统存在的攻击漏洞、及时安装系统补丁程序，以及不断提升网络安全策略，都是防范DDoS攻击的有效办法。

尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张，但是在可以预见的将来，广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪。