用思科路由對DDOS攻擊的防禦思路
中國IT實驗室收集整理　 2006-11-23　

面對日益複雜的網路環境，各種潛在的安全問題以及不詭的而已攻擊，讓我們的網路隨時處在一個危險之地，在資訊時代的今天，保證伺服器穩定高效率的運轉和防控這些惡意攻擊使網管們焦頭爛額。特別是DDOS這種簡單並且非常迅猛的攻擊方式，幾乎已經讓很多站長、網管焦頭爛額了，這裡將著重講述DDOS的防控。
  DDOS分佈式拒絕服務攻擊的簡寫，是目前網路上最流行、最有效的打垮一個伺服器的最有效途徑之一。對於他的防控可以說只能被動防控，在挨了打才知道還手，如何才能建立一個預警機制呢？

  先下手為強，建立機制主動防禦DDOS
  Guard和Detector是CISCO公司今年收購的，並將其模組化是最熱門模組之一，他們對DDOS的防控可以說是前無來著的產品，效率非常的高。在沒有遭到DDOS的時候Guard模組是處於休眠狀態，也可以說是離線狀態，當Detector收到發往受保護的終端時，通過演算法分析和策略匹配，確定受到攻擊。此時Detector將以SSH與Guard建立連接，激活Guard對保護終端進行保護。Guard也將進行策略和演算法分析，給出適當的處理方案丟棄非法數據包，限制速率等方式，將通過策略和演算法分析的數據包發往目的地。整個防禦過程就結束了，同時這個模組還有智慧學習的功能可以使防禦更加精確，這個模組的設置非常的簡單，因為可以進行圖形化的操作，所以在這裡就不再贅述了。

  當然要防禦DDOS攻擊在沒有Guard模組的路由器上依然能實現，比如使用最常用的ip verfy unicast reverse-path介面命令可以將偽裝過的數據包拋棄掉，判斷的標準最簡單的就是有沒有反向傳輸數據包時所需的路由；通過ACL過濾RFC1918中的所有地址，RFC1918就是所有局域網地址的集合如10.*.*.*，192.*.*.*，172.*.*.*這類保留地址。

  後來者居上，解除DDOS攻擊警報
  當然，它有疏忽大意而讓蟊賊得逞的時候，這個時候網管要做的就是第一時間幹掉攻擊者，要想幹掉攻擊者就要做出正確的判斷，那些是虛假的IP，那些是真實的，找出真實的IP遮罩他，這種方式的好處是能立桿見影，立即清除不法分子，但是這個方法的害處是一些無辜的用戶也有可能被判定為攻擊源。當然你也可以通過對攻擊者的路由遮罩，雖然也能清楚攻擊，但是他的誤傷概率擴大了，整個通過該路由的訪問都將被遮罩，但是為了更穩定的服務環境也只能這樣做了。還有限制ICMP和SYN數據包流量速率的方式都是可以非常有效控制DDOS攻擊的。

  這裡僅僅是提供一個防控的思路，對於使用CISCO路由的用戶相信這寫操作都是非常簡單的，其實在防控DDOS攻擊這場戰役中受攻擊者普遍都只能在降低攻擊級別和效果上突破，減輕DDOS攻擊的危害程度，它的攻擊變化無常，隨時都可以更換肉雞進行攻擊，本文中提到CSICO的Guard模組也許是最有效的方式，可以更精確的找到攻擊者，在策略的制定上更有研究或許能有更大的突破。