许多黑客专门破坏或窃取数据，还有不少黑客总是愿意破坏对数据的合法访问。后者这种对信息可用性的攻击被称为DoS攻击，这种攻击与窃取信息一样都会给企业带来不可估量的损失。

　　高级DoS攻击利用受控计算机组成的大型网络（称为僵尸网络），同时从多个不同的地理位置来攻击一个网站。这种攻击称为分布式拒绝服务攻击（DDoS攻击）。这种攻击更阴险，因为我们很难将其通信与正常的网络通信区分开来。

DDoS基础

　　在一个网络接收的数据超过了它的处理能力时，可能就发生了DDoS攻击。执行一次成功的攻击所要求的通信速率依赖于网络的带宽，以及保护设备的能力。其结果总是相同的，机器的互联网连接陷于完全停顿。用户们无法做任何操作，这就像下班高峰时的交通拥塞一样。

　　并非所有的DDoS攻击都针对网站。“有进取心”的黑客还会针对其它的基础组件，如企业的DNS控制器等。笔者的一位客户就曾遭受过DNS扩大攻击，攻击者将带有受害者IP地址的DNS请求作为一个虚假的源发动攻击。由于DNS响应可以比请求更强大，被欺骗的IP会收到大量的响应。该客户在高峰时段每隔一段时间就会收到大量的攻击，这严重地影响了该客户继续进行业务的能力。

　　虽然你企业的网络没有充足的资源来防御DDoS攻击，但你可以寻求ISP的帮助。你可以设置网络过滤器，为攻击网络的通信改变路线。在使用这种方法时要小心，因为ISP的首要责任是向所有的客户提供服务，而不仅仅是某个用户。

基本防御

　　首先，建议企业实施基础架构的风险分析，这是一个很好的开始。例如，匿名攻击在对许多企业的攻击中获得很大成功，这并不是因为攻击者的工具如何高级，而是因为他们所攻击的基础架构本身就漏洞百出。

　　其次，禁止任何未用的服务，目的是将开放端口的数量最小化，从而减少攻击者进入和利用已知漏洞的机会。

　　第三，为所有的软件打上补丁，保持所有软件的最新有助于漏洞数量的最少化。

　　第四，不要太依赖防火墙。防火墙只能阻止来自某些端口的洪水攻击，但它却无法防止基于Web的通信进入。

　　此外，如果禁用了IP广播，就可以阻止基于ICMP的攻击，如死亡之ping攻击。

　　这些仅是从大体上保护网络，抵御一般DDoS攻击的方法，对于一些高级DDoS攻击，这些措施远远不够。说到专门的DDoS防御，企业不妨使用IP包过滤技术。