DDoS攻擊襲擊你的企業的可能性取決于你的企業經營方式、攻擊者的突發奇想或者企業的競爭對手。緩解攻擊的最佳方法是確保您有足夠的能力，冗余站點，商業服務分離以及應對攻擊的計劃。

雖然你不能阻止所有的DDoS攻擊，還是有辦法可以限制它們的攻擊效力，讓你的企業更快修復。大多數攻擊都是瞄準web應用程序，他們只需簡單地向目標web應用程序發送比其可以處理的更多的請求，讓它很難被訪問者使用。

在DDoS攻擊中，大多數攻擊中并不關心系統和應用程序是否崩潰了，雖然他們會對崩潰感到高興，他們的主要目標是防止目標公司提供的服務響應來自合法用戶的請求，為受害公司制造問題。

如果你有適當的監控技術，那么就很容易發現DDoS攻擊。你的網絡操作中心(NOC)會顯示系統狀態：帶寬、每秒請求以及系統資源，如果突然或者在短時間內，所有這些趨勢都上升，那么監控系統就會發出警報。

在典型的企業中，這些事件將會促使NOC的升級，并且IT團隊也會趕緊招募適當的人來處理。管理層也會收到通知說網站和應用程序不正常，所有人都會思考為什么突然請求出現激增。

第一步是分析這些請求的日志

你想要知道請求了什么以及請求的來源。對比新的請求和正常流量來判斷這些是否是合法負載。如果你的企業已經將日志記錄集中化管理，那么事情就很好 辦。但如果日志服務器跟不上，也超負載了，那么可能無法響應你對日志的搜索。如果攻擊了你的應用程序，被感染服務器的日志可能無法發送到日志系統。你將要 從攻擊的開始傳輸了哪些數據進行分析。

第二步是解析這些日志以了解DDoS攻擊

獲取日志后，打開歸類工具和解析工具，獲取日志后，打開歸類工具和解析工具，首先，你需要確定DDoS攻擊是如何進行的。DDoS攻擊是否發送數據 到遠程系統沒有打開的端口，從而消耗防火墻資源?是否反復請求特定的URL?或者是否只是簡單地發送Get / HTTP/1.1請求到web服務器?

通過企業監控，可以確定負載應用的位置。如果你的防火墻的負載很大，而web服務器沒有，則說明是第一種類型的攻擊。如果web服務器在處理請求方面速度很慢，防火墻在處理負載，比平時更高的資源利用率，那么web應用程序應該被直接攻擊了。

第三步是確定關鍵因素

知道DDoS攻擊媒介后，將需要配合日志信息以確定幾個關鍵因素。通過查看日志，你可以確定DDoS攻擊工具做了什么。無論請求發送給web應用程 序還是由防火墻處理，你尋找的數據是相同的。違反常規的請求。查看日志可以很清楚的看出DDoS攻擊的部分，因為會有很高數量的類似請求或者請求樣式組合 在一起。例如，可能會有1萬個請求試圖訪問一個URL，或者可能有個端口失效。

在某些情況下，分布式工具可能會改變他們的要求。但是，一般情況下，你會看到對相同的資源的請求，來自相同的來源，組合在一起，例如對不存在的網址反復發送請求。確定DDoS攻擊使用的請求。如果在所有攻擊節點都是相同的，你將能夠找到攻擊者，區分合法流量。

你只要弄清楚了請求的樣式，你就能確定攻擊者。找到發送最高量和最快請求的攻擊節點，這些都是比較大的攻擊者。知道最常見的請求以及其來源后，你就 可以開始行動了。筆者經常聽到重命名被感染資源(例如URL或者主機名)的建議，但這樣只會導致攻擊者重構他們的DDoS攻擊，或者攻擊新的資源。

這種策略只有當攻擊者調用合法的web應用程序URL(執行一些資源密集型工作，例如大型數據庫查詢)才行得通。在這種情況下，修改應用程序，執行 屏幕確認或者執行攻擊者的工具無法理解的重定向(例如CAPTCHA或者具有用戶確認和重定向的Flash應用程序)可以減小攻擊的影響。不幸的是，在大 多數情況下，攻擊者只會改變他們的攻擊。

第四步是來源過濾、連接和速率限制

在嘗試過這些初始步驟后，下一步應該是來源過濾、連接和速率限制。如果我們可以阻止最大的攻擊者并減慢其他攻擊者，那么我們就可以大大減小DDoS 攻擊的影響。為了成功發動攻擊，攻擊者的節點必須超過我們的生產集群在給定時間內所能夠處理的請求數量。如果我們能夠阻止一些攻擊節點，那么我們就可以減 少系統的負載，讓我們有時間阻止更多攻擊，通知網絡供應商，轉移服務等。

為了保護大部分基礎設施，最好盡可能的在靠近網絡邊緣的位置應用過濾器。如果你可以說服網絡服務供應或者數據中心在他們的設備部署過濾器，將更便于阻止DDoS攻擊。

如果你必須在你的設備上部署過濾器，或者你需要等待上游供應商的響應才能開始，那么則可以從邊緣設備開始，逐漸向后蔓延。使用所有合適的工具來過濾請求，減小對系統的影響。路由器、負載平衡器、IPS、web應用程序防火墻，甚至系統本身都可以拒絕部分請求。

第一個過濾器應該過濾來自發送最多請求的攻擊者的所有連接。向你的訪問控制列表(ACL)應用此規則。當然，邊緣設備不應該接受發送到其接口的流量，并且不應該響應數據包。如果它們這樣做的話，將會成為攻擊者額外的攻擊目標。

第五步是根據來源來限制連接的速率

這能夠阻止來自超過連接限制的主機的任何新連接請求。查看日志，將速度限制設置為低于每個間隔發送請求的平均數量。如果你不確定那些日志條目是攻擊者，哪些是合法的，則可以使用最大請求發送者的請求速率作為出發點。因為最大發送者發送請求的速率肯定大于平均值。

此外，你還可以調整主機和邊緣設備以更快的速度來清除空閑會話以獲取更多資源。但是不能太過頭，以免花費太多資源來建立和拆除連接。通過阻止來源和 限制速率，已經能夠大大緩解DDoS攻擊的影響。如果攻擊者仍然繼續攻擊，看不到盡頭，IT團隊則應該將重點轉移到保護其他企業資源上。

通常情況下，攻擊者會針對一個特定的主機，應用程序或網絡。轉移這些資源的流量到另一個位置，或者阻止流量，將可以保存后端系統的負載，但是也會影 響你的服務，這也正是攻擊者的目標。將受到攻擊的服務與其他服務進行分隔也是個好主意。如果能夠分離感染的服務的話，至少企業不會完全崩潰。

DDoS攻擊深深地影響著企業的正常運營，首席執行官關心的是收入損失以及負面新聞;IT部門對崩潰的應用程序和長時間加班感到煩惱。如果你通過互聯網提供服務，那么你就是一個潛在的DDoS攻擊目標。