近年来，大量由僵尸网络驱动的DDoS攻击利用了成千上万的被感染的物联网，通过向受害者网站发起大量的流量为攻击手段，最终造成严重后果。常年以来的顽疾DDoS似乎难以根治，那到底是否存在一些有效的遏制方法呢？

反复被DDoS攻击怎么办？

Gartner预计，到2020年全球将有超过200亿的物联网设备产生联接，并且日均还会有约550万台设备加入到网络环境，届时有超过半数的商业系统内置物联网组件。对此，传统的桌面安全和本地防火墙是难以抵御新型网络攻击的，黑客只需要截获某一个连接工具就能切入到设备端。

越来越多的物联网设备正沦为DDoS的盘中餐，隐私逐渐成为网络交互的重要组成部分，在勒索软件和各种流氓软件随处可见的今天，很多攻击手段却变得难以被探测，因此物联网的加密措施至关重要。

考虑到物联网的设备形态和功能千奇百怪，从终端、无线接入、网关，再到云平台，涉及的环节众多，要知道不少设备使用的操作系统也是不统一的，不是定制的就是非标准的，无形中为运维人员增加了负担。

一些支持物联网的对象拥有动态特性，例如汽车和车辆，或其他控制关键系统的设备。赛门铁克预计，针对控制关键基础设施的物联网设备的攻击数量将不断增加，如配电与通信网络。

随着更多的员工以个人为单位使用智能音箱、穿戴设备、智能家居等产品，安全风险的入口也越来越多，而且像工业类企业用到的传感器也越来越细分，包括具有WiFi功能的恒温器控制的采暖通风和HVAC系统等等，这些传感器在接入核心网的时候很可能没有经过IT运维团队的授权。一项调查显示，大多数企业并没有觉察到物联网或工业物联网的无线网络，与企业基础设施是分离的。

当然，敲诈勒索对DDoS世界来说并不陌生，但要看看攻击者是如何利用敲诈勒索的也很有意思。早期的勒索程序像DD4BC，会发送不知名的电子邮件，包括攻击和支付信息，日期和截止日期，以及小型攻击，同时威胁更大的攻击和更大的支出，如果受害者合作不能令人满意，就可能会遭殃了。

像DDoS世界中的Memcached，攻击者广泛而迅速地采用了各种规模的跨组织和行业攻击，并且不久就能想出将威胁转化为商机的方法。

另一个趋势是，2019年，越来越多的攻击者将试图访问家庭路由器与其他物联网中心，以捕获经过这些路由器或中心的数据。例如，入侵这些路由器中的恶意软件可以窃取银行凭证、捕获信用卡号或向用户显示用于盗取敏感信息的虚假恶意网页。也就是说，攻击者通过新的方式利用家庭Wi-Fi路由器，以及其他安全性较差的物联网设备来进行攻击。

由此，引伸出来的重要问题是，到底怎样才能有效抵御或者说有效遏制DDoS攻击呢？首先，用户要去尝试了解攻击来自于何处，原因是黑客在攻击时所调用的IP地址并不一定是真实的，一旦掌握了真实的地址段，可以找到相应的码段进行隔离，或者临时过滤。同时，如果连接核心网的端口数量有限，也可以将端口进行屏蔽。

相较被攻击之后的疲于应对，有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施，但这种办法只能拖延黑客的攻击进度，并不能解决问题。与之相比的话，还不如去“屏蔽”那些区域性或者说临时性的地址段，减少受攻击的风险面。

此外，还可以在骨干网、核心网的节点设置防护墙，这样在遇到大规模攻击时可以让主机减少被直接攻击的可能。考虑到核心节点的带宽通常较高，容易成为黑客重点“关照”的位置，所以定期扫描现有的主节点，发现可能导致风险的漏洞，就变得非常重要。

根据此前与从安全厂商了解到的消息，多层防护DDoS攻击的方法仍然适用。例如，驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击，包括流量攻击、状态耗尽攻击与应用层攻击；为了避免出现上述防火墙等设备存在的弊端，用户应该选择无状态表架构的防护设备利用云平台、大数据分析，积累并迅速察觉攻击特征码，建立指纹知识库，以协助企业及时侦测并阻挡恶意流量攻击。

像以上的抵御方法还有一些， 如 限制SYN/ICMP流量、过滤所有RFC1918 IP地址等等，但归根结底，还是要从根源上进行有效遏制，不要等出了问题再去想办法，这也是DDoS攻击“不绝于耳”的原因。

DDoS 攻击防御方法

• 网络层 DDoS 防御

1. 限制单 IP 请求频率。

2. 网络架构上做好优化，采用负载均衡分流。

3. 防火墙等安全设备上设置禁止 ICMP 包等。

4. 通过 DDoS 硬件防火墙的数据包规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等技术对异常流量进行清洗过滤。

5. 采用 ISP 近源清洗，使用电信运营商提供的近源清洗和流量压制，避免全站服务对所有用户彻底无法访问。这是对超过自身带宽储备和自身 DDoS 防御能力之外超大流量的补充性缓解措施。

• 应用层 DDoS 防御

1. 优化操作系统的 TCP/IP 栈。

2. 应用服务器严格限制单个 IP 允许的连接数和 CPU 使用时间。

3. 编写代码时，尽量实现优化并合理使用缓存技术。尽量让网站静态化，减少不必要的动态查询。网站静态化不仅能大大提高抗攻击能力，而且还给骇客入侵带来不少麻烦，至少到现在为止关于 HTML 的溢出还没出现。

4. 增加 WAF（Web Application Firewall）设备，WAF 的中文名称叫做 Web 应用防火墙。Web 应用防火墙是通过执行一系列针对 HTTP / HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。

5. 使用 CDN / 云清洗，在攻击发生时，进行云清洗。通常云清洗厂商策略有以下几步：预先设置好网站的 CNAME，将域名指向云清洗厂商的 DNS 服务器；在一般情况下，云清洗厂商的 DNS 仍将穿透 CDN 的回源的请求指向源站，在检测到攻击发生时，域名指向自己的清洗集群，然后再将清洗后的流量回源。

6. CDN 仅对 Web 类服务有效，针对游戏类 TCP 直连的服务无效。这时可以使用 DNS 引流 + ADS (Anti-DDoS System) 设备来清洗，还有在客户端和服务端通信协议做处理（如：封包加标签，依赖信息对称等）。

DDoS 攻击究其本质其实是无法彻底防御的，我们能做得就是不断优化自身的网络和服务架构，来提高对 DDoS 的防御能力。