第九十五章 DDoS攻击防御（2 / 2）

头道：“那下一步呢？”

“下一步就是第二种防御策略，节点流量实时检测过滤策略。”

“由于一些洪水消息包与正常消息包没有本质的区别，所以可以对消息包来源节点和TTL进行组合判断，建立起节点流量实时检测过滤策略。当节点接收消息时，可以先不对消息进行转发，而是先进行流量统计识别。当它在一段时间里收到的某一邻居节点消息超过预先设定值的时候，则判定消息来源于同一TTL半径。若同时这一源节点持续发送消息数量达到事先设定的服务器资源的一个值，比如说20％时，就判定它具备DDoS攻击特征，为DDoS攻击包。即对该消息进行丢包策略处理。”

小助手不紧不慢地道。

沈斌一听，眼睛立刻亮了起来。

所谓的丢包策略，就是说如果在一个时间段内判定这个节点有攻击特征，则对消息包进行减半转发。一般一个节点每分钟产生的消息查询数不会超过40，进行一次判定后，减半，就是说下次这个节点只允许发送20个消息包给服务器。

如果还是发现有攻击特征，则在原基础上继续减半，一直到这个节点只允许发送一个消息包为止。同时将该节点填入不信任名单，若这个节点攻击特征减缓或者恢复正常，则每次增加一个消息包的配额，直至恢复正常。

小助手给出的防御策略实在是非常不错，沈斌从前似乎也在计算机理论刊物上见到过这方面的论述。只是没有小助手给的这么具体。

看来小助手真的是从自己周围的环境出发，没有太过逾越的给出超越现有科技的技术。

方案是有了，接下来就是要具体的实施。

这不，沈斌又遇到麻烦了。

这该怎么实施啊？

编写一个小工具附加到硬件防火墙上？

沈斌一想，似乎可行的样子。