DDoS攻擊是目前最常見的網(wǎng)絡(luò)攻擊手段。攻擊者通常使用客戶端/服務(wù)器技術(shù)將多臺計算機(jī)組合到攻擊平臺中，對一個或多個目標(biāo)發(fā)起DDoS攻擊，從而增加拒絕服務(wù)攻擊的威力，是黑客使用的最常見的攻擊方法之一，以下列出了一些服務(wù)器遭到DDoS攻擊常用的應(yīng)對方法。

1. 定期掃描

定期掃描現(xiàn)有網(wǎng)絡(luò)主節(jié)點，清點可能存在的安全漏洞，及時清理新漏洞。由于帶寬較高，骨干節(jié)點上的計算機(jī)最適合黑客，因此加強(qiáng)這些主機(jī)本身的主機(jī)安全性非常重要。此外，由于連接到網(wǎng)絡(luò)主節(jié)點的服務(wù)器是服務(wù)器級計算機(jī)，因此定期掃描漏洞更為重要。

2. 在骨干節(jié)點上配置防火墻

防火墻本身可以防御DDoS攻擊和其他攻擊。如果發(fā)現(xiàn)攻擊，您可以將攻擊定向到可以阻止來自真實主機(jī)的攻擊的受害主機(jī)。當(dāng)然，這些犧牲主機(jī)可以選擇Linux或Unix以及其他漏洞和自然防御攻擊很少的系統(tǒng)。

3. 足夠容量抵御攻擊

理想的應(yīng)對策略。如果具有足夠容量和足夠資源來攻擊黑客的用戶不斷地訪問用戶并占用用戶的資源，則能量逐漸喪失。也許用戶沒有遭到攻擊，黑客無法移動。但是，這種方法需要大量投資，其中大多數(shù)設(shè)備是空閑的，這與當(dāng)前SME網(wǎng)絡(luò)的實際操作不匹配。

4. 利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源

所謂的網(wǎng)絡(luò)設(shè)計備是指負(fù)載均衡器備，如路由器和防火墻，可以有效保護(hù)網(wǎng)絡(luò)。如果網(wǎng)絡(luò)受到攻擊，路由器首先死亡，但另一臺計算機(jī)沒有死亡。重啟后，路由器恢復(fù)正常，啟動非?？?，沒有任何損失。

如果另一臺服務(wù)器死機(jī)，數(shù)據(jù)將丟失，重新啟動服務(wù)器的過程需要很長時間。具體來說，該公司使用負(fù)載平衡，因此如果一個路由器受到攻擊，另一個路由器將立即運行。這可以最大限度地減少DDoS攻擊。

5. 過濾不必要的服務(wù)和端口

不必要的服務(wù)和端口，即進(jìn)行路由器上的虛假IP過濾。

6. 檢查訪客的來源

要在反向路由器查詢中檢查訪問者的IP地址是否為真，請使用單播反向路由轉(zhuǎn)發(fā)，如果為false，則將阻止。許多黑客經(jīng)常使用假的IP地址來混淆用戶，這使得很難找到源。因此，單播反向路由轉(zhuǎn)發(fā)將有助于降低虛假IP地址的發(fā)生率并提高網(wǎng)絡(luò)安全性。

7. 過濾所有RFC1918 IP地址

RFC1918 IP地址是來自內(nèi)部網(wǎng)絡(luò)（如10.0.0.0，192.168.0.0和172.16.0.0）的IP地址，必須進(jìn)行過濾，因為它們是為Internet保留的本地IP地址，而不是特定網(wǎng)段的靜態(tài)IP地址。丟棄此方法不會過濾內(nèi)部員工的訪問權(quán)限，但您可以通過過濾掉攻擊期間生成的大量虛假內(nèi)部IP來緩解DDoS攻擊。

8. SYN/ICMP流量限制

用戶必須在路由器上配置SYN/ICMP的最大流量，以限制SYN/ICMP數(shù)據(jù)包占用的最大帶寬，這意味著大量的SYN/ICMP流量超過了指定的SYN/ICMP流量，這不是正常的網(wǎng)絡(luò)訪問，說明有黑客攻擊。SYN/ICMP流量的初始限制是防止DOS的最佳方法，但這種方法對DDoS效果不明顯，但仍然可以起到一點作用。

上述方法可以緩解一些小的流量攻擊。如果您受到大量流量的攻擊，超級盾建議通過借助專業(yè)的高防服務(wù)以抵御DDOS攻擊。超級盾可以自動識別攻擊流量，智能清洗惡意攻擊流量。解決因流量攻擊導(dǎo)致的各種服務(wù)器性能異常問題，確保服務(wù)器穩(wěn)定運行。
責(zé)編AJX