攻击、病毒、木马成天围着互联网中的计算机打转，一个不慎即将让网民受到践踏式伤害。使得原来就小心异异的网民在网络中冲浪时更加提心吊胆。虽然在攻击字典中DDoS攻击并不是一个新式攻击，但在今年5月却又再次成为重视的焦点。

    事件发生
这不最近国外的某网民在访问一个名为[蓝色地狱]的在线论坛时就成了DDOS的骑下之物。访问该论坛后，首先出现了网络连接不畅、网络逐渐变慢，导致其无法访问任何的网页资源，随即调制解调器的灯狂闪不停，此现象足以证明其正受到网络中的大量数据流，网络资源被耗尽。原来该[蓝色地狱]论坛是一个攻击者聚集之地，通常这里的住户会对访问者发起某攻击如：DDOS，以练其手。

    而在今年4月，爱沙尼亚总统网站、官方网站、政党网站、政府部门网站、3大新闻机构网站、银行网站、通讯机构网站都收到了大量不明数据包的攻击，最终导至多起服务器过于拥挤陷于瘫痪的事件发生。据有关消息称：事件的起因可能是由于爱沙尼亚政府，曾下令拆除位于首都塔林市中心的苏军解放塔林纪念碑及苏联战士公墓中的铜制苏联红军雕像，而引发该次大规模攻击。

    其实更易遭到攻击的却是：色情网站、游戏私服等，由于利益与内容的驱使，很多网站却是敢怒不敢言，技术上的薄弱导致其只能受气，成为攻击中的冤大头。

    DDOS反弹技术
    早先的DDOS只是在DOS的基础之上，利用手中所控制的大批肉鸡（小提示：被攻击者远程入侵后取得控制权，并在用户不知情的情况下安装完成控制软件与攻击软件机器），向目标机器在同一时间发送大量虚假的报文，让数据包形成多式队列等待，让目标机检验处理越集越多，从而导致用户计算机倒在了数据流之下。而目前的DDOS攻击反弹技术是：恶意用户通过发送大量的欺骗请求数据包到网络中的服务器群（来源地址为victim，受害服务器，或目标服务器），当服务器群收到数据包请求后会发送大量的应答包还溃到victim，由于攻击的数据流被大量服务器稀释，并最终在受害者处汇集，造成危力更大的攻击动态。也就是说攻击者无需将服务器做为网络流量的放大器（发送比攻击者发送的更大容量的网络数据），甚至可以将洪水流量变弱，最终形成在目标机汇合成为大容量的洪水，从而发起攻击。

    降低反弹式攻击危害
    在对抗DDOS的攻击大潮中，首先要会利用入侵过滤（Ingress filtering）来对外界数据包进行选择性丢弃。往白了讲，入侵过滤就是一种安全策略，指的是在计算机的网络边缘（如路由器），建立路由声明，并将所有往来的来源IP标记为本网地址的数据包丢弃，虽然这种方式可以有效地预防DDoS反射攻击，但却不能防止DDOS直接攻击。而反追踪方法（backscatter traceback method）却可以降低外部的DDOS攻击，方法如下：

    一、首先要在处于计算机与外界连接的边缘设备路由器的外部接口上进行配置，拒绝所有流向DDoS攻击目标的数据流，将头部无效或无法定位数据来源的IP数据包丢弃。（例如这里将地址：10.0.0.0 - 10.255.255.255、172.16.0.0 - 172.31.255.255、192.168.0.0 - 192.168.255.255设为拒绝后，路由器会在每一次拒绝包后将原数据包打包并携带destination unreachable信息返回到源地址。）

    二、进入路由页面查看所有的路由器日志，观察看哪一个路由收到的攻击数据包多，进行相关调整修改子网掩码，将该网段设为黑洞并隔离。随后查找该网段所有者信息，并即时新建调整策略，将所获得的网段ISP发送到网站ISP服务商，携手对抗。（注：为了让合法的数据流量和相关服务通过，这里可以将攻击较轻的路由器恢复正常，保留关闭承受攻击最重的路由器。）

    修改注册表降低DDOS力度
    而面对于DDOS的危害，相关人员可以通过修改注册表的方式来减弱攻击，设置的性能取决于服务器的配置，尤其是CPU的处理能力。（注：以下注册表数值可通过注册表母键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]目标下查找）

    一、关闭无效网关检查："EnableDeadGWDetect"=dword:00000000，可防止网络不畅时系统尝试连接第二个网关，优化网络。
    二、禁止响应ICMP重定向报文："EnableICMPRedirects"=dword:00000000。
    三、发送验证保持活动数据包："KeepAliveTime"=dword:000493e0，该项决定TCP间隔多少时间来确定当前连接还处于连接状态，如不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里可设为5分钟。
    四、禁止IP源路由：DisableIPSourceRouting"=dword:0000002，缺省项值为1表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，推荐2。
    五、修改ICMP数据包的寸活时间：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)数值加大。防止ICMP重定向报文攻击：EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)根据实际情况修改。
    六、减少SYN-ACK重新传输次数、路由缓存项资源分配延迟：PerformRouterDiscovery REG_DWORD 0x0数值(默认值为0x2表示当DHCP发送路由器发现选项时启用)。
    七、配置激活动态Backlog：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters下的EnableDynamicBacklog"=dword:00000001建议设置为1，表示允许动态Backlog，然后配置最小动态Backlog："MinimumDynamicBacklog"=dword:00000014，建议值为20。而对于最大动态的Backlog："MaximumDynamicBacklog"=dword:00002e20，这里设为20000。

    修改完以上几点注册表数值后，还要关闭系统中不必要的服务，启动syn攻击保护：缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值来设定条件触发启动了。"SynAttackProtect"=dword:00000002，接着要设置等待SYN-ACK时间，缺省项值为3，缺省过程消耗时间45秒。项值为2，消耗时间为21秒，项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改，（微软站点安全推荐为2）TcpMaxConnectResponseRetransmissions"=dword:00000001。同时要允许打开半连接数量（未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态）TcpMaxHalfOpen"=dword:00000064，建议这里设小点（微软建议值，服务器设为100，高级服务器设为500）。

    结束语：面对的DDOS反弹式及标准攻击，还可以利用第三方软件如：软、硬件DDOS防火墙及相关检测工具，面对攻击，只有尽早的查出并实施相对应的策略，使用正确的方法进行抵御，方能将DDOS的攻击力度减弱。