對付ddos攻擊 資深網管教你幾大妙招

1、對付DDoS攻擊資深網管教你幾大妙招.txt人永遠不知道誰哪次不經意的跟你說了再見之后就真的再也不見了。一分鐘有多長？這要看你是蹲在廁所里面，還是等在廁所外面……對付DDoS攻擊資深網管教你幾大妙招不知道身為網絡管理員的你是否遇到過服務器因為拒絕服務攻擊都癱瘓的情況呢就網絡安全而言目前最讓人擔心和害怕的入侵攻擊就要算是拒絕服務攻擊了。他和傳統(tǒng)的攻擊不同，采取的是仿真多個客戶端來連接服務器，造成服務器無法完成如此多的客戶端連接，從而無法提

2、供服務。一，拒絕服務攻擊的發(fā)展:從拒絕服務攻擊誕生到現在已經有了很多的發(fā)展，從最初的簡單Dos到現在的DdoS。那么什么是Dos和DdoS呢DoS是一種利用單臺計算機的攻擊方式。而DdoS(DistributedDenialofService，分布式拒絕服務)是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，比如一些商業(yè)公司、搜索引擎和政府部門的站點。DdoS攻擊是利用一批受控制的機器向一

3、臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。如果說以前網絡管理員對抗Dos可以采取過濾IP地址方法的話，那么面對當前DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防范DdoS攻擊變得更加困難，如何采取措施有效的應對呢下面我們從兩個方面進行介紹。二，預防為主保證安全DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規(guī)方法。(1)定期掃描要定期掃描現有的網絡主節(jié)點，清查可能存在的安全漏洞，對新出現的漏洞

4、及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節(jié)點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。(2)在骨干節(jié)點配置防火墻防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)

5、秀的系統(tǒng)。(3)用足夠的機器承受黑客攻擊這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處于空閑狀態(tài)，和目前(1)檢查攻擊來源，通常黑客會通過很多假IP地址發(fā)起攻擊，此時，用戶若能夠分辨出哪些是真IP哪些是假IP地址，然后了解這些IP來自哪些網段，再找網網管理員將這些

6、機器關閉，從而在第一時間消除攻擊。如果發(fā)現這些IP地址是來自外面的而不是公司內部的IP的話，可以采取臨時過濾的方法，將這些IP地址在服務器或路由器上過濾掉。(2)找出攻擊者所經過的路由，把攻擊屏蔽掉。若黑客從某些端口發(fā)動攻擊，用戶可把這些端口屏蔽掉，以阻止入侵。不過此方法對于公司網絡出口只有一個，而又遭受到來自外部的DdoS攻擊時不太奏效，畢竟將出口端口封閉后所有計算機都無法訪問inter了。(3)最后還有一種比較折中的方法是在路由器上

7、濾掉ICMP。雖然在攻擊時他無法完全消除入侵，但是過濾掉ICMP后可以有效的防止攻擊規(guī)模的升級，也可以在一定程度上降低攻擊的級別。總結:目前網絡安全界對于DdoS的防范還是沒有什么好辦法的，主要靠平時維護和掃描來對抗。簡單的通過軟件防范的效果非常不明顯，即便是使用了硬件安防設施也僅僅能起到降低攻擊級別的效果，Ddos攻擊只能被減弱，無法被徹底消除。不過如果我們按照本文的方法和思路去防范DdoS的話，收到的效果還是非常顯著的，可以將攻擊帶