2007年5月25号由SWsoft、微软中国、四博互联主办的创新•发展——主机行业服务创新研讨会在西安 金花豪生国际大酒店隆重举行，中国IT实验室、中国IDC圈作为协办单位应邀进行会议现场图文直播。

遐迩网络罗春

　　罗春：大家好，我是来自上海遐迩网络，刚才我接到了我们公司的反馈，又有两个大的IDC被超过2个G的流量攻击，对这个情况，肯定在大家身边发生的几率不是很多，有的朋友跟我聊了，说我有很好的操作系统和技术人员，我们拥有多年的系统管理经验，我们对网络安全方面不会有什么问题，但是我想跟大家说一句，你可以在路径方面做的很好，有很好的机器来做，但是在DDos攻击面前会显得非常脆弱。这是一个世界上的难题。现在我跟大家探讨一下我们遐迩网络在这个服务行业里面的一些经验吧。

　　我们看一下拒绝服务的原理。DDos攻击大家可以看到，最上面的是虚假的SYN发生器，这种攻击是拒绝服务里面的一种方式，叫做BRBOS，是一种反弹式的攻击。

　　我们来回顾一下DDos攻击事件的记录。

　　99年，雅虎被拒绝服务攻击。

　　01年，CERT被拒绝服务攻击。

　　02年，CNNIC被拒绝服务攻击。

　　03年，腾讯被拒绝服务攻击。

　　到现在，攻击已经变得十分普遍。

　　拒绝服务的特点：1、危害巨大。这个是不用说了，到今天为止，以后产生了黑色产业链。

　　2、实施简单。因为攻击软件广为传播，实施这样的攻击技术门槛非常低。

　　3、防范困难。攻击变种日新月异，攻击流量日益增大。

　　4、难于追查。目前想追查这种攻击方式，最流行的一种是将攻击路径追查出来。

　　当你的web、mail服务器瘫痪该怎么办？事实上，从单个点上来讲是没有办法的。

　　我给大家介绍一下传统的DDos防范方法：1、源头过滤。

　　2、中间路由器过滤。

　　3、指纹验证。

　　4、SYN代理。

　　在源头过滤里面，配置边界，拒绝转发非本地IP数据包。要求路由器对每个出去的数据包判断其SIP，才做路由转发工作。

[1] [2] 下一页