许多***专门破坏或窃取数据，还有不少***总是愿意破坏对数据的合法访问。后者这种对信息可用性的***被称为DoS***，这种***与窃取信息一样都会给企业带来不可估量的损失。

高级DoS***利用受控计算机组成的大型网络(称为僵尸网络)，同时从多个不同的地理位置来***一个网站。这种***称为分布式拒绝服务***(DDoS***)。这种***更阴险，因为我们很难将其通信与正常的网络通信区分开来。

DDoS基础

在一个网络接收的数据超过了它的处理能力时，可能就发生了DDoS***。执行一次成功的***所要求的通信速率依赖于网络的带宽，以及保护设备的能力。其结果总是相同的，机器的互联网连接陷于完全停顿。用户们无法做任何操作，这就像下班高峰时的交通拥塞一样。

并非所有的DDoS***都针对网站。“有进取心”的***还会针对其它的基础组件，如企业的DNS控制器等。笔者的一位客户就曾遭受过DNS扩大***，***者将带有受害者IP地址的DNS请求作为一个虚假的源发动***。由于DNS响应可以比请求更强大，被欺骗的IP会收到大量的响应。该客户在高峰时段每隔一段时间就会收到大量的***，这严重地影响了该客户继续进行业务的能力。

虽然你企业的网络没有充足的资源来防御DDoS***，但你可以寻求ISP的帮助。你可以设置网络过滤器，为***网络的通信改变路线。在使用这种方法时要小心，因为ISP的首要责任是向所有的客户提供服务，而不仅仅是某个用户。

基本防御

首先，建议企业实施基础架构的风险分析，这是一个很好的开始。例如，匿名***在对许多企业的***中获得很大成功，这并不是因为***者的工具如何高级，而是因为他们所***的基础架构本身就漏洞百出。

其次，禁止任何未用的服务，目的是将开放端口的数量最小化，从而减少***者进入和利用已知漏洞的机会。

第三，为所有的软件打上补丁，保持所有软件的最新有助于漏洞数量的最少化。

第四，不要太依赖防火墙。防火墙只能阻止来自某些端口的洪水***，但它却无法防止基于Web的通信进入。

此外，如果禁用了IP广播，就可以阻止基于ICMP的***，如死亡之ping***。

这些仅是从大体上保护网络，抵御一般DDoS***的方法，对于一些高级DDoS***，这些措施远远不够。说到专门的DDoS防御，企业不妨使用IP包过滤技术。

包过滤

描述过滤这种技术还是很容易的：判断进入的数据包，看其是来自合法用户，还是来自***机器，若来自后者，则丢弃。但实际上实施这种方案并非易事。

企业往往建立能够阻止非法通信的过滤器。但这种做法的困难在于，如何将***包与合法请求区分开来，而且因为***的目的是摧毁正在扫描通信的设备，数据包的数目如此多，从而造成保护网络的设备无法应对。建议采用阻止假冒IP包的技术，如基于路由器的过滤，它可以跟踪进入通信的源地址，一旦发现异常，就认为是欺诈而丢弃。事实上，很容易阻止欺诈，如今的高级***不再使用这种伎俩。现在阻止假冒通信仅是一种简单技术。

抵制僵尸网络的***

但新威胁却更为危险：在受感染的计算机作为僵尸网络的一部分而协同动作时，数据包的源地址就不再是假冒的了，而是真实的IP地址。

针对僵尸***，有一种更科学的IP过滤方法。这种技术试图先记住曾经访问过网站的善意数据包，然后找出恶意数据包，仅准许来自已知源的数据包进入。此时，边缘路由器参照常用访问者的IP地址数据库，如果在通信源中找不到匹配的IP，就丢弃包。

基于历史记录的过滤有一个关键问题，就是地址数据库是如何工作的。如果边缘路由器花费太多的时间才能得到善意地址的列表，而***又正在进行，网络响应速度就会减少，其造成的效果与***自身又有什么区别呢?

这种过滤还有一个问题：如果***者知道了基于历史的过滤，为了使僵尸计算机的IP地址合法化，僵尸控制系统很容易在真实***发生之前将僵尸计算机指引到目标网站。这会欺骗过滤系统，使其信任更多的DDoS包，因为***来自“熟悉的”地址。

虚拟路由器和安全设备

除过滤之外，新的DDoS防御技术还可以使用虚拟路由器和基于设备的系统，以此作为接收通信的基本方式，并应用清洁技术来过滤通信。这种自动化的系统将来势必成为对付DDoS***的重要防御工具，因为可以对基于云和基于虚拟化的系统进行调整，以满足海量的通信要求。

根除DDoS之路漫漫而修远，因为互联网上有太多不安全的机器正在被“僵尸化”。虽然目前对付DDoS***的防御已经很强大，但其针对性往往太强，而DDoS***采取的是“群起而攻之”的战术。因而，防御必须依靠综合治理、协同努力。DDoS是IT管理者时刻需要关注的严重威胁。

其它方法

还有其它两种技术可用来保护公司网络。首先，可以增加网络带宽，使其可以简单地“接收”小型DDoS***的通信。其次，准备第二个网络连接，你可以将它作为灾难恢复计划的一部分，在遭受***期间，仍可以维持互联网访问。

小结

DDoS***正在不断演化，变得日益强大、隐密，更具针对性且更复杂，它已成为从事电子商务公司的重大威胁。真正有效地对付这种***是一个系统工程，它需要全方位地综合治理、协同努力，如从法律、技术(不限于IT)、ISP、公司、个人用户等角度，多管齐下。特别是加强对个人用户、雇员的教育，养成良好的上网习惯，防止其成为僵尸网络的帮凶。