如何防止DDoS攻击 DDoS攻击服务器应对措施
作者：佚名
字体：[ ] 来源：互联网 时间：09-11 10:17:02
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。本文就带大家深入了解DDoS攻击及防御策略。
不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是拒绝服务攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。
一，拒绝服务攻击的发展:
　　从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DDoS。那么什么是Dos和DDoS呢?DoS是一种利用单台计算机的攻击方式。而DDoS(Distributed Denial of Service，分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DDoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DDoS众多伪造出来的地址则显得没有办法。所以说防范DDoS攻击变得更加困难，如何采取措施有效的应对呢?下面我们从两个方面进行介绍。
二，预防为主保证安全
　　DDoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。
　　(1)定期扫描
　　要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。
　　(2)在骨干节点配置防火墙
　　防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
　　(3)用足够的机器承受黑客攻击
　　这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。
　　(4)充分利用网络设备保护网络资源
　　所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DDoS的攻击。
　　(5)过滤不必要的服务和端口
　　可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
　　(6)检查访问者的来源
　　使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。
　　(7)过滤所有RFC1918 IP地址
　　RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DDoS的攻击。
　　(8)限制SYN/ICMP流量
　　用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DDoS效果不太明显了，不过仍然能够起到一定的作用。
三，寻找机会应对攻击
　　如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。
　　(1)检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。
　　(2)找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的 DDoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。
　　(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。
　　目前网络安全界对于DDoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果， DDoS攻击只能被减弱，无法被彻底消除。
&&&&&& 我们按照本文的方法和思路去防范DDoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小，大家快来试试吧
大家感兴趣的内容
12345678910
最近更新的内容看了云舒关于防御DDoS的回答中提到阿里曾受到过450G/秒的DDoS攻击，很好奇这么大规模的攻击需要的成本是多少呢？
刚看完的关于这方面的几篇论文，好像是2013年的NDSS和USENIX，有兴趣可以去查查，名字太长了我没记得。这种攻击一般叫DRDOS。R代表reflector。这种比较新的ddos攻击不再是自己操控僵尸机了，而是通过ip伪造来欺骗网络里面的host从而达到增大攻击效益的目的，NTP是其中增加效益最大的一种，13年的那篇NDSS论文的作者扫了ipv4里面百分之五的服务器，主要集中在14个udp的protocol上，我记得好像是这个数据吧，然后发现NTP的平均放大效率是500多，选取最大的百分之十能达到四千多，也是14个当中最大的。放大效率是指，简单的说我request的包大小为1，reaponse的包大小为10，就放大了10倍。论文原文中是amplification.具体的攻击手段就是比如我想攻击A,我就发很多请求给很多网络中正常服务的服务器，但是通过把源ip地址改成A的地址的方法欺骗那些服务器，因为udp没有session也不用三次握手，有很多服务器也没有做egress filtering,就会直接response给A，就达成了把本来的服务器变成了自己的攻击源这么一个成就当然14年USENIX的一篇论文也有说tcp也可以做这种攻击了。太晚了，用手机简单写了下，可能有笔误，如果反响好哪天用电脑整理下再更新
严正申明，本文是一本道，请不要再继续引用里面的数据了。&br&&br&（难道原先看起来不像是一本道吗？&br&&br&=======&br&谢 &a class=&member_mention& href=&///people/2c1ec15b688& data-editable=&true& data-tip=&p$b$2c1ec15b688& data-hash=&2c1ec15b688& data-title=&@王大帅X&&@王大帅X&/a& 邀请，刚好手上有一份资料，分享出来大家看看：&br&&br&&p&&b&迪蒂奥斯公司商业计划书&/b&&/p&&p&内部资料 请勿泄密&/p&&p&&b&1 背景&/b&&/p&&br&&br&&br&&p&1.1&b&市场容量&/b&&/p&&p&2014年，全球拒绝服务攻击的收入达到6亿美元，我国拒绝服务攻击的总收入为3千万美元，各项统计指标均创历史新高。&/p&&p&在未来5年间，我国每年拒绝服务攻击收入将以25%的速度持续增长，到2020年，我国拒绝服务攻击的收入将达到1亿美元，届时中国将成为全球最大、最令人瞩目的拒绝服务攻击市场。&/p&&br&&br&&p&&i&中国拒绝服务攻击的市场分析&/i&&br&&img src=&/b240fe78af1a5_b.jpg& data-rawheight=&428& data-rawwidth=&766& class=&origin_image zh-lightbox-thumb& width=&766& data-original=&/b240fe78af1a5_r.jpg&&&br&&/p&&p&&b&市场给我们提供的机会&/b&&/p&&p&到目前为止，国际国内还尚无一家专业提供拒绝服务攻击的公司，迪蒂奥斯的出现填补了市场空白，具有很大的想象空间。&/p&&br&&br&&p&&b&2 战略定位&/b&&/p&&p&迪蒂奥斯公司通过网站以及线下的产品服务，专门提供拒绝服务攻击。公司通过对客户需求，攻击资源，第三方服务机构，信息安全资讯等资源的整合，为国内的客户提供一个线上线下的互动平台，帮助国内客户通过资讯和线上的服务完成拒绝服务计划。&/p&&br&&br&&br&&b&2.1 公司愿景&/b&&br&&p&公司计划用3年时间，成为国内拒绝服务攻击的门户，提供客户精确丰富的拒绝服务咨询服务。占据国内拒绝服务市场的30％，占国内信息安全市场份额的1/100，并从第三年开始开拓国际拒绝服务市场业务.&/p&&br&&br&&b&2.2 宗旨&/b&&br&&p&通过优质的拒绝服务业务，强大的互联网互动交流平台，给客户提供更快捷，更周到，更有价值的拒绝服务攻击体验。&/p&&br&&br&&b&2.3 市场定位&/b&&br&&p&拒绝服务攻击服务的目标用户包括但不限制于各种大型互联网公司、电子商务、在线金融机构、在线游戏公司等等。&/p&&p&1、战略阻击竞争对手&/p&&p&2、快速扩张期间拉开差距&/p&&p&3、报仇雪恨&/p&&p&4、打击山寨私服&/p&&br&&br&&b&3 产品定位以及功能&/b&&br&&p&采用SaaS（Security as a Service）的理念，打造中国最大的拒绝服务咨询以及相关服务网站，整合行业资源，提供客户各种丰富的拒绝服务攻击体验。&/p&&br&&br&&b&3.1 产品以及服务&/b&&br&&img src=&/bdd15fa3c37c625d46bbb93e473c91e3_b.jpg& data-rawheight=&155& data-rawwidth=&526& class=&origin_image zh-lightbox-thumb& width=&526& data-original=&/bdd15fa3c37c625d46bbb93e473c91e3_r.jpg&&&br&&p&&b&4 运营战略与计划&/b&&/p&&br&&br&&b&4.1 整体运营战略&/b&&br&&p&利用3年时间，成为国内主流拒绝服务提供商，国内最大的信息安全资讯门户网站。占有国内拒绝服务攻击份额的30%, 并且从第三年开始开发海外的业务。&br&&img src=&/a1fb98fe7deb927bd2e7289_b.jpg& data-rawheight=&258& data-rawwidth=&526& class=&origin_image zh-lightbox-thumb& width=&526& data-original=&/a1fb98fe7deb927bd2e7289_r.jpg&&&br&&/p&&p&&b&4.2 公司组织架构&/b&&/p&&img src=&/cd88fc7fad038c138beff10_b.jpg& data-rawheight=&376& data-rawwidth=&772& class=&origin_image zh-lightbox-thumb& width=&772& data-original=&/cd88fc7fad038c138beff10_r.jpg&&&br&&br&&br&&br&&br&&b&5 收入以及财务预算&/b&&br&&br&&br&&b&5.1 收入构成&/b&&br&&img src=&/8a15eebde_b.jpg& data-rawheight=&180& data-rawwidth=&520& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&/8a15eebde_r.jpg&&&p&&b&5.2 支出&/b&&/p&&p&该部分分成两个部分，固定费用和变动费用&/p&&p&&img src=&/e9b2adc1d468ddc627d19c40bc706d7b_b.jpg& data-rawheight=&441& data-rawwidth=&520& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&/e9b2adc1d468ddc627d19c40bc706d7b_r.jpg&&================&br&严正申明：本文纯属杜撰，请勿仿效，对于读者可能因为幽默感缺失而带来的严重后果，答主不承担任何责任。&/p&&br&================
严正申明，本文是一本道，请不要再继续引用里面的数据了。（难道原先看起来不像是一本道吗？=======谢
邀请，刚好手上有一份资料，分享出来大家看看：迪蒂奥斯公司商业计划书内部资料 请勿泄密1 背景1.1市场容量2014年，全球拒绝服务攻击的收入达…
已有帐号？
无法登录？
社交帐号登录问题已关闭
包含违反知乎规范的内容
涉及侵权、盗版、犯罪，及其他违法违规的内容
我是开社区服务器的steam游戏的社区服务器，比如CS 求生之路这些因为租我服务器的客户使用权限不当，被一些所谓 '黑客'的小学生同志DDOS，并且号称平民愤，打死垃圾服务器，问题这玩意我决定不了，难道我要说我的客户不能使用权限？那么谁还愿意租服务器呢？也许是同行所为 但是小学生去某吧公然声称是自己所为 并且公然建群
兜售DDOS攻击器 我的机房有20G以上的防御。集群可达60G以上，但是某ip被大规模攻击 还是免不了封闭ip，那么这样服务器还是不可用状态，以前的办法就是给客户停机退款毕竟做服务器
还是需要给客户百分之99.999的可服务承诺到底怎么处理这类的事件呢？相比与阿里云的5G黑洞，他们又是怎么保证服务的呢？游戏使用的几乎都是UDP端口，加了硬件防火墙之后还有哪些能够有效防止此类问题的手段呢？然后回到标题问题对于这个小学生
我是去报案，还是去砍他？
1.Steam上游戏开服务器怎么能叫“私服”呢？应该叫做社区服务器，毕竟你这是正当的服务器。“私服”一词听了就感觉含贬义。2.报个案威慑一下小学生，跟小学生斗争要记住：“当小学生像他预想地把你玩的团团转时，小学生会在电脑屏幕面前傻呵呵地笑的口水流一地；但是当事情超过小学生的设想范围时，小学生将会吓得哭爹喊娘，屁滚尿流。”
已有帐号？
无法登录？
社交帐号登录ddos攻防是什么意思？_百度知道
ddos攻防是什么意思？
　　ddos是分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。　　ddos的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。
其他类似问题
为您推荐：
你说在很对
　DDOS全名是Distribution Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追述到1996年最初,在中国2002年开发频繁出现,2003年已经初具规模.
　DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。
　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的&消化能力&加强...
DDOS全名是Distribution Denial of service (分布式拒绝服务攻击),就是使用多台计算机 发送大量垃圾指令到指定电脑，使该电脑处理指令而无法反应过来，最终导致瘫痪
ddos的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}