减轻DDoS攻击危害的六大最佳方法

　　成功减轻DDoS攻击的基础包括：知道监视什么、全天候地监视这些征兆、有技术和能力来确认和减轻DDoS攻击，同时又允许合法的通信到达目的地，并拥有实时的正确解决问题的技能和经验。下面讨论的最佳方法就反映了这些原则。

最佳方法一：实现数据收集集中化，并理解其趋势

1、集中化监视

　　运用集中化监视功能，实现在一个位置就可以监视整个网络及通信模式；将通信的监管限制由一个小团队负责，以保持监管的连续性。

2、理解正常网络的通信模式

　　为建立进入企业的正常通信的基准，企业应当定期收集来自交换机、路由器及其它设备的样本数据包和其它有关信息。需要知道进入了哪些类型的通信（例如， SMTP、HTTP和HTTPS等）、何时进入（是每个星期三，还是每个月的第一天等）、从何处进入、进入了多少等。建立一个包含超过一年的正常通信模式的监视地图，并将此信息整合到一个用于威胁检测、警告和报告的相关引擎中。

3、跟踪全世界的DDoS历史趋势和威胁情报

　　对全球的攻击模式进行持续的跟踪和分析，快速验证潜在的攻击和新出现的攻击，并将吸取的教训纳入到适当的事件响应中。使用现有的情报查找预定义的反常问题（即分析签名）。使内部的情报收集与第三方情报供应商的情报相互补充，参与到业界的安全团体和论坛中，其中的信息共享有助于揭示异常活动。

4、实施专门的DDoS警告、日志、报告系统

　　确保所发出的警告能够告知安全管理员DDoS攻击的迹象，其中包括未必是基于攻击数量的攻击。实施一种日志和相关系统，收集可用于预防未来攻击的详细攻击数据。实施一种明确的过程，用于收集并评估事务、通信的总体状况、应用程序、协议、事件的报告。记住，事务报告与通信报告一样重要。例如，如果所预计的事务数量发生锐减，这比通信量的增加能更有力地表明可疑活动的存在。

5、与经验丰富的安全研究人员协同工作

　　如果企业并不知道怎样处理数据，即使最好的监视、检测、警告、日志和报告设备也是无用的。安全研究人员应当亲身实践，能够区分可疑通信与合法通信，并随着形势的变化而改变应对策略。