最佳方法三：使用分層過濾

減輕DDoS攻擊的目標(biāo)，是用最小的延遲排除惡意的非法通信，僅允許合法的通信進(jìn)入網(wǎng)絡(luò)。實(shí)現(xiàn)此目標(biāo)最有效方法是，使用一種可以利用前文所述的所有方法的多層過濾驗(yàn)證過程。

1、分層過濾通信

使用簽名分析、動(dòng)態(tài)分析（根據(jù)對(duì)正常行為的監(jiān)視和分析）、反欺騙算法等技術(shù)來主動(dòng)過濾網(wǎng)絡(luò)上游的有害通信。

2、在OSI堆棧的多層上都應(yīng)用過濾器

雖然通過在網(wǎng)絡(luò)層上實(shí)施過濾器就可以減少某些攻擊，但是當(dāng)代的攻擊更復(fù)雜和深入，我們需要在包括應(yīng)用層的多層上都進(jìn)行分析和過濾。

3、必要時(shí)可限制通信速率

為防止“低容忍”的資源發(fā)生癱瘓，根據(jù)帶寬的并發(fā)連接數(shù)量，可在必要時(shí)運(yùn)用限制通信速率的能力。

4、能夠快速改變和定制過濾器

在必要時(shí)，能夠快速應(yīng)用和清除標(biāo)準(zhǔn)過濾器（即簽名），也可以根據(jù)網(wǎng)絡(luò)遭受的攻擊變化來生成定制的過濾器。

5、隨著時(shí)間的推移而強(qiáng)化規(guī)則集

分析境內(nèi)外的多種情報(bào)、監(jiān)視、警告和報(bào)告日志，然后使用這些信息來不斷地更新規(guī)則集。

最佳方法四：構(gòu)建可擴(kuò)展性和靈活性

為確保在遭受攻擊的條件下，系統(tǒng)能夠正常發(fā)揮功能，企業(yè)必須擁有一個(gè)高擴(kuò)展性的、靈活性的基礎(chǔ)架構(gòu)。

1、按需定制的能力

這種能力包括帶寬以及硬件處理能力，以及需要處理通信負(fù)載的可擴(kuò)展性。充足的能力至關(guān)重要，但要想在一個(gè)企業(yè)內(nèi)部維持充足的能力卻非常困難，并且常常是不現(xiàn)實(shí)的。例如，提供過度的帶寬來吸收海量攻擊需要花費(fèi)大量的金錢去購買額外的帶寬，甚至有可能還需要購買服務(wù)器。此外，在當(dāng)今的環(huán)境中，過度配置帶寬也往往是不夠的，因?yàn)镈DoS攻擊的規(guī)模正以驚人的速度增長(zhǎng)，而企業(yè)網(wǎng)絡(luò)到互聯(lián)網(wǎng)連接的速率一般是1Gbps及其以下。

2、找到臨界點(diǎn)

要了解你的基礎(chǔ)在遭受攻擊的情況下是如何動(dòng)作的。確定通信的特征，并確認(rèn)哪些組件在面臨沉重負(fù)載時(shí)會(huì)首先垮掉。例如，知道在哪個(gè)時(shí)點(diǎn)上防火墻或Web服務(wù)器會(huì)發(fā)生故障，知道哪些數(shù)據(jù)包或查詢?cè)谀诚到y(tǒng)上所造成的后果比其它系統(tǒng)更嚴(yán)重。要在鏡像生產(chǎn)環(huán)境中測(cè)試各種情況，而不僅僅是預(yù)報(bào)，并在改變了基礎(chǔ)架構(gòu)的任何部分后重新進(jìn)行測(cè)試。

3、對(duì)基礎(chǔ)架構(gòu)建立負(fù)載平衡

一旦確認(rèn)了臨界點(diǎn)，下一步就應(yīng)當(dāng)對(duì)基礎(chǔ)架構(gòu)建立負(fù)載平衡，其目標(biāo)是優(yōu)化正常負(fù)載和峰值負(fù)載情況下的通信流。

4、考慮監(jiān)視工具的可擴(kuò)展性

必須保證在高負(fù)載的情況下，監(jiān)視工具仍能繼續(xù)工作。在有些消耗帶寬的DDoS攻擊中，監(jiān)視往往名存實(shí)亡，甚至還會(huì)報(bào)告錯(cuò)誤數(shù)據(jù)。例如，有些監(jiān)視工具只能報(bào)告相同的值，因?yàn)樗鼰o法報(bào)告更高級(jí)的東西。

5、增強(qiáng)硬件和軟件的多樣性

并不是要構(gòu)建多么復(fù)雜的IT環(huán)境，而是為了防御某些DDoS攻擊針對(duì)特定廠商硬件和軟件，因而不妨從多個(gè)廠商購買硬件和軟件工具。

6、利用分布式模式

如果可能，利用一種分布式模式來為高價(jià)值的應(yīng)用和服務(wù)構(gòu)建和維持冗余性。