下面是打败拒绝服务攻击些窍门技巧其中有些思路方法过去在防御拒绝服务攻击中取得了成功有些思路方法是全新但是提供了种非常令人心动解决方案

　　由ISP提供拒绝服务攻击防御产品或者拒绝服务攻击服务这种防御策略是通常是最有效当然也是最昂贵许多ISP(互联网服务提供商)为你互联网链路提供某种方式云计算拒绝服务攻击保护这个想法是ISP在允许通讯进入你互联网线路的前先清理你通讯由于这种防御是在云计算中完成你互联网链路不会被拒绝服务攻击阻塞不被阻塞至少是这个防御目标再说次没有劳永逸高明办法这种服务也可以由第 3方在云计算拒绝服务攻击防御服务中提供在发生拒绝服务攻击时他们把你通讯转移到他们那里他们清理你通讯然后再把这些通讯发回给你这切都是在云计算中发生因此你互联网线路不会被阻塞ISP提供拒绝服务攻击服务例子包括AT&T互联网保护服务和Verizon Business提供拒绝服务攻击防御减轻服务

　　RFC3704过滤

　　基本访问控制列表(ACL)过滤器RFC3704主要前提是数据包应该来自于合法、分配地址段、和结构和空间分配致要达到这个目有个全部没有使用或者保留IP地址列表这些地址是你从互联网中永远看不到如果你确实看到了这些地址那么它肯定是个欺骗源IP地址应该丢弃这个列表名称是Bogon列表你应该咨询下你ISP看他们是否能在这个欺骗通讯进入你互联网链路的前在云计算中为你管理这种过滤Bogon列表大约每个月修改次因此如果ISP没有为你做这个事情那么你必须自己管理你Bogon访问控制列表规则(或者找另家ISP)

　　黑洞过滤

　　这是个非常有效常见技术般来说这需要和你ISP起做RTBH(远程触发黑洞)过滤是种能够提供在不理想通讯进入个保护网络的前放弃这种通讯能力技术这种技术使用 BGP(边界网关协议)主机路由把发往受害者服务器通讯转接到下跳个null0接口RTBH有许多变体但是其中个变态值得特别关注和你ISP起试试RTBH过滤让他们为你在云计算中放弃那种通讯从而防止拒绝服务攻击进入你通讯线路

　　思科IPS 7.0源IP声誉过滤

　　思科最近发布了IPS 7.0代码更新这个升级包括个名为全球关联功能简言的全球关联功能检查它看到每个源IP地址声誉得分如果这个来源声誉不好入侵防御系统(IPS)传感器就可以放弃这个通讯或者提高个点击风险级别值下面是思科对全球关联功能解释:IPS 7.0包含个名为“思科全球关联”新安全功能这个功能利用了我们在过去许多年里收集大量安全情报思科IPS将定期从思科SensorBase网络接收威胁更新信息这个更新信息包括互联网上已知威胁详细信息包括连续攻击者、僵尸网络收获者、恶意爆发和黑网(dark nets)等IPS使用这个信息在恶意攻击者有机会攻击重要资产的前过滤掉这些攻击者IPS然后把全球威胁数据结合到自己系统中以便更早地检测和防御恶意活动

　　当然你可以设置全球关联这样话你传感器就能够知道有恶意活动声誉网络设备并且能够对这种设备采取行动

　　思科调整SensorBase思路方法的是接收来自思科7.0 IPS传感器信息企业可以选择使用这个也可以选择不适用这个思科IPS使用SensorBase有区别威胁种类其中两种是僵尸网络收获者和以前拒绝服务攻击实施者因此当你遭到僵尸网络拒绝服务攻击时候这个传感器将放弃所有来至声誉不良来源通讯这个过程在使用这种特征的前就开始了对于传感器资源(处理器、背板等)来说是非常便宜这使它成为在拒绝服务攻击期间使用个理想思路方法这也是思科IPS在处理IPS特征的前检查SensorBase原因

　　许多僵尸网络拒绝服务攻击使用通向你网络服务器SSL(安全套接字层)这有助于攻击者隐藏其负载防止你可能拥有检测引擎检查然而考虑到全球关联仅使用源IP地址声誉得分做出决定防御SSL分布式拒绝服务攻击是没有问题没有任何其它厂商为自己IPS解决方案增加基于声誉检查功能因此它们不能防御任何形式SSL分布式拒绝服务攻击些IPS厂商确实能够能通过解密传输中数据打开和查看SSL数据包内部然而这个过程在IPS资源(处理器、背板、内存等)方面太昂贵不能用于分布式拒绝服务攻击它会迅速消除传感器本身通讯瓶颈

　　当然如果这个分布式拒绝服务攻击阻塞了你链路这个策略可能就不起作用但是如果分布式拒绝服务攻击仅仅阻塞了部分服务器而没有阻塞整个网络那就表明这个防御措施作用很好全球关联不是个妙方而是你工具箱中另个工具

　　IP源防护

　　这个问题不是 5大主要问题部分不过这个问题仍然值得提这个窍门技巧是打开你交换机中IP源防护功能这个功能可以阻止主机在变成僵尸电脑时候发出欺骗性数据包这不是个防御工具而是个守法公民工具尽管它能够阻止内部欺骗性分布式拒绝服务攻击如果每家公司都打开IP源防护功能它就能够帮助减少我们遇到欺骗性分布式拒绝服务攻击数量启用IP源防护功能项增加好处是能够帮助你找到你网络中已经成为僵尸网络部分主机当这个恶意软件Software发动欺骗性攻击时候这个交换机端口能够自动锁死并且向你安全监视站点报告这个事件或者你报告这个事件并且保持打开这个端口但是除了真正IP地址源通讯的外放弃所有通讯