攻击、病毒、木马成天围着互联网中的计算机打转，一个不慎即将让网民受到践踏式伤害。使得原来就小心异异的网民在网络中冲浪时更加提心吊胆。虽然在攻击字典中DDoS攻击并不是一个新式攻击，但在今年5月却又再次成为重视的焦点。

    事件发生
这不最近国外的某网民在访问一个名为[蓝色地狱]的在线论坛时就成了DDOS的骑下之物。访问该论坛后，首先出现了网络连接不畅、网络逐渐变慢，导致其无法访问任何的网页资源，随即调制解调器的灯狂闪不停，此现象足以证明其正受到网络中的大量数据流，网络资源被耗尽。原来该[蓝色地狱]论坛是一个攻击者聚集之地，通常这里的住户会对访问者发起某攻击如：DDOS，以练其手。

    而在今年4月，爱沙尼亚总统网站、官方网站、政党网站、政府部门网站、3大新闻机构网站、银行网站、通讯机构网站都收到了大量不明数据包的攻击，最终导至多起服务器过于拥挤陷于瘫痪的事件发生。据有关消息称：事件的起因可能是由于爱沙尼亚政府，曾下令拆除位于首都塔林市中心的苏军解放塔林纪念碑及苏联战士公墓中的铜制苏联红军雕像，而引发该次大规模攻击。

    其实更易遭到攻击的却是：色情网站、游戏私服等，由于利益与内容的驱使，很多网站却是敢怒不敢言，技术上的薄弱导致其只能受气，成为攻击中的冤大头。

    DDOS反弹技术
    早先的DDOS只是在DOS的基础之上，利用手中所控制的大批肉鸡（小提示：被攻击者远程入侵后取得控制权，并在用户不知情的情况下安装完成控制软件与攻击软件机器），向目标机器在同一时间发送大量虚假的报文，让数据包形成多式队列等待，让目标机检验处理越集越多，从而导致用户计算机倒在了数据流之下。而目前的DDOS攻击反弹技术是：恶意用户通过发送大量的欺骗请求数据包到网络中的服务器群（来源地址为victim，受害服务器，或目标服务器），当服务器群收到数据包请求后会发送大量的应答包还溃到victim，由于攻击的数据流被大量服务器稀释，并最终在受害者处汇集，造成危力更大的攻击动态。也就是说攻击者无需将服务器做为网络流量的放大器（发送比攻击者发送的更大容量的网络数据），甚至可以将洪水流量变弱，最终形成在目标机汇合成为大容量的洪水，从而发起攻击。

    降低反弹式攻击危害
    在对抗DDOS的攻击大潮中，首先要会利用入侵过滤（Ingress filtering）来对外界数据包进行选择性丢弃。往白了讲，入侵过滤就是一种安全策略，指的是在计算机的网络边缘（如路由器），建立路由声明，并将所有往来的来源IP标记为本网地址的数据包丢弃，虽然这种方式可以有效地预防DDoS反射攻击，但却不能防止DDOS直接攻击。而反追踪方法（backscatter traceback method）却可以降低外部的DDOS攻击，方法如下：

    一、首先要在处于计算机与外界连接的边缘设备路由器的外部接口上进行配置，拒绝所有流向DDoS攻击目标的数据流，将头部无效或无法定位数据来源的IP数据包丢弃。（例如这里将地址：10.0.0.0 - 10.255.255.255、172.16.0.0 - 172.31.255.255、192.168.0.0 - 192.168.255.255设为拒绝后，路由器会在每一次拒绝包后将原数据包打包并携带destination unreachable信息返回到源地址。）

    二、进入路由页面查看所有的路由器日志，观察看哪一个路由收到的攻击数据包多，进行相关调整修改子网掩码，将该网段设为黑洞并隔离。随后查找该网段所有者信息，并即时新建调整策略，将所获得的网段ISP发送到网站ISP服务商，携手对抗。（注：为了让合法的数据流量和相关服务通过，这里可以将攻击较轻的路由器恢复正常，保留关闭承受攻击最重的路由器。）