DDoS攻擊是黑客最經常使用的攻擊手段,防禦DDoS主要是爲了確保安全而進行的防範。那麼如何採起有效措施來處理它?下面列出了一些常規的處理方法。html
(1)檢查攻擊來源linux
一般黑客會經過多個假IP地址發起攻擊,此時,若是用戶能分辨出哪一個是真正的IP地址,哪一個是假IP地址,而後知道IP來自哪一個網段,而後要求網絡管理員關閉這些機器,以便從一開始就消除攻擊。若是您發現這些IP地址來自外部,而不是來自公司的IP,您能夠經過臨時過濾服務器或路由器上的IP地址來過濾這些IP地址。安全
(2)在主幹節點配置防火牆服務器
防火牆自己可以防禦DDoS攻擊和其餘攻擊。當發現攻擊時,能夠將攻擊定向到一些犧牲主機,這能夠保護真正的主機免受攻擊。固然,這些面向犧牲主機的系統能夠選擇不重要的系統,或者是像linux和unix這樣漏洞不多、對攻擊有很好的天然防護能力的系統。網絡
(3)過濾沒必要要的服務和端口負載均衡
過濾沒必要要的服務和端口,也就是在路由器上過濾假的IP…許多服務器只打開服務端口是一種流行的作法,例如,WWW服務器只打開80個端口,並關閉全部其餘端口或在防火牆上執行阻塞策略。spa
(4)過濾全部RFC1918的IP地址3d
RFC1918 IP地址是內部網的IP地址,例如10.0.0.0、 192.168.0.0和172.16.0.0。它們不是網段的固定IP地址,而是保留在互聯網內部的區域IP地址,應該過濾掉。該方法不過濾內部人員的訪問,而是過濾攻擊過程當中僞造的大量虛假內部IP,從而防禦DDoS攻擊。unix
(5)找出攻擊者經過的路徑並阻止攻擊htm
若是黑客從某些端口發起攻擊,用戶就能夠阻止這些端口的入侵。然而,這種方法對公司的網絡只有一個出口,當受到外部DDoS攻擊時,它沒法工做。畢竟,在退出端口關閉後,沒有一臺計算機可以訪問互聯網。
(6)充分利用網絡設備保護網絡資源
所謂網絡設備是指路由器、防火牆等負載均衡設備,能夠有效保護網絡。當網絡受到攻擊時,路由器首先死亡,但其餘機器沒有死亡。重啓後,失效路由器將恢復正常,並快速啓動,不會有任何損失。若是其餘服務器死亡,數據將會丟失,從新啓動服務器是一個漫長的過程。特別是,一家公司使用負載平衡設備,所以當一臺路由器受到攻擊並崩潰時,另外一臺會當即工做。從而最大限度地減小DdoS攻擊。
(7)限制同步/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量,以限制SYN/ICMP數據包可佔用的最大帶寬,以便當大量SYN/ICMP流量超過限制時,這不是正常的網絡訪問,而是黑客入侵。早期限制SYN/ICMP流量是防止DOS的最好方法,雖然這種方法防禦DDoS效果並不明顯,但仍然能夠起到必定的做用。若是用戶受到攻擊,尋找處理攻擊的機會,他能作些什麼來抵抗攻擊將是很是有限的。因爲一場大流量的災難性攻擊沒有作好準備,網絡極可能在用戶恢復意識以前就癱瘓了。然而,用戶仍然能夠抓住機會尋找一線但願。
以上就是爲你們介紹的防禦DDoS原理的相關措施,若是按照本文的方法和思路去防護DDos的話,收到的效果仍是很是顯著的,能夠將攻擊帶來的損失下降到最小。DDoS攻擊雖然不能進行完全性的防護,可是有效的緩解還能實現的。
本文來自:https://www.zhuanqq.com/News/Industry/254.html