DDoS攻击是黑客最经常使用的攻击手段,防御DDoS主要是为了确保安全而进行的防范。那么如何采起有效措施来处理它?下面列出了一些常规的处理方法。html
(1)检查攻击来源linux
一般黑客会经过多个假IP地址发起攻击,此时,若是用户能分辨出哪一个是真正的IP地址,哪一个是假IP地址,而后知道IP来自哪一个网段,而后要求网络管理员关闭这些机器,以便从一开始就消除攻击。若是您发现这些IP地址来自外部,而不是来自公司的IP,您能够经过临时过滤服务器或路由器上的IP地址来过滤这些IP地址。安全
(2)在主干节点配置防火墙服务器
防火墙自己可以防御DDoS攻击和其余攻击。当发现攻击时,能够将攻击定向到一些牺牲主机,这能够保护真正的主机免受攻击。固然,这些面向牺牲主机的系统能够选择不重要的系统,或者是像linux和unix这样漏洞不多、对攻击有很好的天然防护能力的系统。网络
(3)过滤没必要要的服务和端口负载均衡
过滤没必要要的服务和端口,也就是在路由器上过滤假的IP…许多服务器只打开服务端口是一种流行的作法,例如,WWW服务器只打开80个端口,并关闭全部其余端口或在防火墙上执行阻塞策略。spa
(4)过滤全部RFC1918的IP地址3d
RFC1918 IP地址是内部网的IP地址,例如10.0.0.0、 192.168.0.0和172.16.0.0。它们不是网段的固定IP地址,而是保留在互联网内部的区域IP地址,应该过滤掉。该方法不过滤内部人员的访问,而是过滤攻击过程当中伪造的大量虚假内部IP,从而防御DDoS攻击。unix
(5)找出攻击者经过的路径并阻止攻击htm
若是黑客从某些端口发起攻击,用户就能够阻止这些端口的入侵。然而,这种方法对公司的网络只有一个出口,当受到外部DDoS攻击时,它没法工做。毕竟,在退出端口关闭后,没有一台计算机可以访问互联网。
(6)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,能够有效保护网络。当网络受到攻击时,路由器首先死亡,但其余机器没有死亡。重启后,失效路由器将恢复正常,并快速启动,不会有任何损失。若是其余服务器死亡,数据将会丢失,从新启动服务器是一个漫长的过程。特别是,一家公司使用负载平衡设备,所以当一台路由器受到攻击并崩溃时,另外一台会当即工做。从而最大限度地减小DdoS攻击。
(7)限制同步/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量,以限制SYN/ICMP数据包可占用的最大带宽,以便当大量SYN/ICMP流量超过限制时,这不是正常的网络访问,而是黑客入侵。早期限制SYN/ICMP流量是防止DOS的最好方法,虽然这种方法防御DDoS效果并不明显,但仍然能够起到必定的做用。若是用户受到攻击,寻找处理攻击的机会,他能作些什么来抵抗攻击将是很是有限的。因为一场大流量的灾难性攻击没有作好准备,网络极可能在用户恢复意识以前就瘫痪了。然而,用户仍然能够抓住机会寻找一线但愿。
以上就是为你们介绍的防御DDoS原理的相关措施,若是按照本文的方法和思路去防护DDos的话,收到的效果仍是很是显著的,能够将攻击带来的损失下降到最小。DDoS攻击虽然不能进行完全性的防护,可是有效的缓解还能实现的。
本文来自:https://www.zhuanqq.com/News/Industry/254.html