应用实战：网络如何应对DDoS攻击？

攻击防范措施
     1．在遭遇DDoS攻击时，通常会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向，将其丢弃在一个数据“黑洞”中，以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃，业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用，拒绝为合法用户提供接入。这样做的结果很明显，就是“因噎废食”，可以说是恰恰满足了黑客的心愿。

     2．安装专业防火墙进行非法流量过滤
     在上述攻击实例中，我们架设了防DDoS攻击设备进行非法流量的过滤，拓扑图如图四所示，起到了不错的效果，保护了网吧的正常营业，但是攻击流量一直流向到防火墙，占用城域网带宽严重。

图三  DDoS防火墙安装示意图

     3．对于用户来说，正常业务的开展是最根本的利益所在。随着大家对Internet的依赖性不断增加，DDoS攻击的危害性也在不断加剧。我们只能建议和呼吁：及早发现系统存在的攻击漏洞、及时安装系统补丁程序，以及不断提升网络安全策略，都是防范DDoS攻击的有效办法。

     尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张，但是在可以预见的将来，广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪。