面對日益復雜的網絡環境，各種潛在的安全問題以及不詭的而已攻擊，讓我們的網絡隨時處在一個危險之地，在信息時代的今天，保證服務器穩定高效率的運轉和防控這些惡意攻擊使網管們焦頭爛額。特別是DDOS這種簡單并且非常迅猛的攻擊方式，幾乎已經讓很多站長、網管焦頭爛額了，這里將著重講述DDOS的防控。

DDOS分布式拒絕服務攻擊的簡寫，是目前網絡上最流行、最有效的打垮一個服務器的最有效途徑之一。對于他的防控可以說只能被動防控，在挨了打才知道還手，如何才能建立一個預警機制呢？

先下手為強，建立機制主動防御DDOS

Guard和Detector是CISCO公司今年收購的，并將其模塊化是最熱門模塊之一，他們對DDOS的防控可以說是前無來著的產品，效率非常的高。在沒有遭到DDOS的時候Guard模塊是處于休眠狀態，也可以說是離線狀態，當Detector收到發往受保護的終端時，通過算法分析和策略匹配，確定受到攻擊。此時Detector將以SSH與Guard建立連接，激活Guard對保護終端進行保護。Guard也將進行策略和算法分析，給出適當的處理方案丟棄非法數據包，限制速率等方式，將通過策略和算法分析的數據包發往目的地。整個防御過程就結束了，同時這個模塊還有智能學習的功能可以使防御更加精確，這個模塊的設置非常的簡單，因為可以進行圖形化的操作，所以在這里就不再贅述了。

當然要防御DDOS攻擊在沒有Guard模塊的路由器上依然能實現，比如使用最常用的ip verfy unicast reverse-path接口命令可以將偽裝過的數據包拋棄掉，判斷的標準最簡單的就是有沒有反向傳輸數據包時所需的路由；通過ACL過濾RFC1918中的所有地址，RFC1918就是所有局域網地址的集合如10.*.*.*，192.*.*.*，172.*.*.*這類保留地址。

后來者居上，解除DDOS攻擊警報

當然，它有疏忽大意而讓蟊賊得逞的時候，這個時候網管要做的就是第一時間干掉攻擊者，要想干掉攻擊者就要做出正確的判斷，那些是虛假的IP，那些是真實的，找出真實的IP屏蔽他，這種方式的好處是能立桿見影，立即清除不法分子，但是這個方法的害處是一些無辜的用戶也有可能被判定為攻擊源。當然你也可以通過對攻擊者的路由屏蔽，雖然也能清楚攻擊，但是他的誤傷概率擴大了，整個通過該路由的訪問都將被屏蔽，但是為了更穩定的服務環境也只能這樣做了。還有限制ICMP和SYN數據包流量速率的方式都是可以非常有效控制DDOS攻擊的。

這里僅僅是提供一個防控的思路，對于使用CISCO路由的用戶相信這寫操作都是非常簡單的，其實在防控DDOS攻擊這場戰役中受攻擊者普遍都只能在降低攻擊級別和效果上突破，減輕DDOS攻擊的危害程度，它的攻擊變化無常，隨時都可以更換肉雞進行攻擊，本文中提到CSICO的Guard模塊也許是最有效的方式，可以更精確的找到攻擊者，在策略的制定上更有研究或許能有更大的突破。