作者：juniu网络   来源:互联网    发布时间:2022-03-13

　　什麽是dos和ddos?dos是一种使用单一信息处理机开展流量攻击的方法。分布式拒尽服务ddos(distributeddenialofservice，分布式拒尽服务)是一种以dos为基础的特殊形式的拒尽服务流量攻击，它是一种分布式、协作的大规模流量攻击方式，主要针对较大的网站，例如一些商业公司、搜索引擎和政府部门的网站。ddos流量攻击是指使用一组受控信息处理机对一台服务器开展流量攻击，使快速流量攻击变得难以防护，因而具备很大的破坏性。假如之前网管对dos能采取过滤的方式来处理ip地址的话，那么面对目前众多伪造ddos地址就显得没有办法了。因此，要想防止ddos流量攻击变得更难，怎样才能采取很好地对策?本文从两个方面加以介绍。预防性为主确保安全性ddos流量攻击是黑客最常使用的流量攻击方式，以下列举几种对付它的常用方法。

　　(1)定期检查。

　　要定期扫描已有的网络主节点，将可能存在的安全漏洞清理干净，以便及时发现。主干结点由于其有很高的带宽，是黑客最好的利用地点，所以加强这些服务器自身的安全性就显得尤为重要。而且，由于所有连接到网络主节点的信息处理机都是服务器级信息处理机，因此定期扫描漏洞就显得尤为重要。

　　(2)主干节点设定防火墙。

　　它本身可以抵抗ddos流量攻击等多种流量攻击。当遇到流量攻击时，可以将流量攻击引导到某些牺牲服务器上，从而保护真实服务器免受流量攻击。这些以牺牲服务器为导向的当然可以选择无关紧要的，或者像linux和unix这样的较少漏洞的系统。

　　(3)有足够的服务器来对付黑客。

　　它是一个比较理想的应对策略。假如客户有足够的容量和足够的资源来流量攻击黑客，在其不停地访问客户、抢夺客户资源时，自身的能量也在逐渐耗尽，也许没有等客户被攻死，黑客已经无力支招。但是这种方法所需要的资金投进比较多，大部分设备平时都是闲置的，与中小公司网络实际执行情况不符。

　　(4)充分利用网络设备保护网络资源。

　　大家所说的网络设备就是路由器、防火墙等负荷均衡设备，它们能很好地地保护网络。在网络受到流量攻击时，第一个死亡的是路由器，但是其它服务器都没有死亡。死机的路由器在重启之后会回到正常状态，而且启动很快，没有任何损失。如果另一台服务器死了，其中的信息将丢失，重新启动服务器将是一个漫长的过程。一家公司尤其使用负荷平衡装置，所以当一台路由器受到流量攻击而死亡的时候，另一台就会立即工作。因此，ddos的流量攻击将被最大化。

　　(5)筛选不必要的服务和端口。

　　筛选不需要的服务和端口，比如对路由器中的虚假ip开展过滤…只开放服务端口成为许多服务器的普遍做法，比如www只有80个，就关闭其它所有端口，或者对防火墙执行一个阻止策略。

　　(6)检查来访者来源。

　　利用unicastreversepathforwarding和其他方法，根据反向路由器查看来检查访问者的ip地址是否为真，如果为假，则开展屏蔽。越来越多黑客流量攻击经常使用虚假的ip地址来迷惑客户，难以找出其来源。所以，使用unicastreversepathforwarding可以减少虚假ip地址，从而帮助改善网络安全。

　　(7)过滤所有rfc1918ip地址。

　　rfc1918ip地址是内部网的ip地址，比如10.0.0.0,192.168.0.0和172.16.0.0，这些ip地址并非某一网段的固定ip地址，而是在internet上保留，应该对其开展过滤。这种方法并非对内部雇员开展过滤，而是对在流量攻击时伪造的大量假内部ip开展过滤，因此也能减轻ddos的流量攻击。

　　(8)限制syn/icmp通信。

　　使用者应该配置syn/icmp的最大通信量，以限制syn/icmp屏蔽包可以占用的最大带宽，因此，当syn/icmp超限通信量较多时，即并非正常的网络访问，而是黑客黑客侵进。尽早地限制syn/icmp通信量是预防dos的最佳方式，尽管这种方法对ddos的影响并不那么明显，但是仍然可以发挥一定的功能。当客户受到流量攻击时，寻找机会应对流量攻击，他能够做的防护水平就会很有限。由于在本来就没有准备好的情况下就出现了一次灾难性的流量攻击，客户很可能在客户还没反应过来时，网络就已经瘫痪了。不过，客户仍然能够抓住机会，寻找一线希看。

　　(1)查看流量攻击源，通常黑客会根据许多虚假的ip地址发动流量攻击，这时，客户若能区分哪些是真ip，哪些是假ip地址，然后了解这些ip来自哪个网段，再找网网管理员将这些服务器关闭，以在第一时间消除流量攻击。当这些ip地址是从公司内部而非外部的ip时，可以选用一种临时过滤的方式，从服务器或路由器中过滤掉这些ip地址。

　　(2)确定流量攻击者根据了什么路径，以屏蔽流量攻击。如果黑客从特定的端口发起流量攻击，客户可以将其屏蔽，从而阻止黑客侵进。然而，这种方法仅适用于公司网络出口，同时也受到来自外部ddos流量攻击的影响，毕竟，在关闭出口端口之后，所有信息处理机都无法访问internet。

　　(3)最后一种更具折中性的方法是过滤icmp路由器。尽管在流量攻击时不能彻底消除icmp流量攻击，但滤掉icmp后能很好地地阻止流量攻击规模的升级，还能在一定程度上降低流量攻击等级。

　　不知您是否曾经遇到过由于拒尽服务流量攻击(ddos流量攻击)而瘫痪的情况?在网络安全方面，目前最令人担忧和恐惧的黑客侵进流量攻击，要算ddos流量攻击了。与传统的流量攻击方式不同，他选用模拟许多客户端来连接服务器，这导致了服务器不能完成客户机连接而不能服务。

　　针对ddos，网络安全界当前最很好地的防护方法是：

　　蛛丝马迹系统：由世界各国和地区构成一个庞大的网络系统，就像一个虚幻的网络，任何人侦测到的节点服务器ip并非你实际信息所在的真实ip地址，每个节点都选用百m独享服务器单机抗2g流量流量攻击。

　　不管是g口令还是鸡群流量攻击，使用蜘蛛系统在确保你的个人服务器或信息安全的情况下，仅影响一条链路、一个区域、一个省或一条链路的客户.而且会在一min内替换已瘫痪的节点服务器，以确保网站正常状态.同时也可以将g口发包的服务器或肉鸡发出的所有信息包都返回给发送点，使g口所需的服务器或肉鸡所发出的信息包都返回给发送点，使g口所能提供的服务器或肉鸡所能提供的服务。

　　假如按照本文的方法和思想来防范ddos的话，收到的影响还是很大的，可以把流量攻击带来的损失减少到最小。

　　注意：ddos流量攻击只能削弱，不能彻底消除。