防禦DDoS五個法則教你如何規避DDoS帶來的危害

防禦DDoS的服務，是一種緩解方案，而不是一種治癒方案，它可以緩解DDoS攻擊對網站業務的影響，而不是徹底根除DDoS攻擊。DDoS攻擊，是基於DoS的特殊形式的拒絕服務攻擊，是一種分散式、協作的大規模攻擊方式，主要瞄準一些企業或政府部門的網站發起攻擊。

DDoS攻擊的危害在於，它能在短時間內對攻擊目標發起大量的訪問請求，試圖耗盡攻擊目標的網路頻寬或伺服器資源，讓攻擊目標的網路堵塞、陷入癱瘓或者伺服器無法響應正常的訪問請求，並最終造成攻擊目標的網站的實質性無法訪問。

預防為主保證安全DDoS攻擊是駭客最常用的攻擊手段，下面列出了對付它的一些常規方法。

（1）定期掃描

要定期掃描現有的網路主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的頻寬，是駭客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連線到網路主節點的都是伺服器級別的計算機，所以定期掃描漏洞就變得更加重要了。

（2）在骨幹節點配置防火牆

防火牆本身能防禦DDoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。

（ 3 ）充分利用網路裝置保護網路資源

所謂網路裝置是指路由器、防火牆等負載均衡裝置，它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麼損失。若其他伺服器死掉，其中的資料會丟失，而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡裝置，這樣當一臺路由器被攻擊當機時，另一臺將馬上工作。從而最大程度的防禦DDoS的攻擊。

（ 4 ）過濾不必要的服務和埠

過濾不必要的服務和埠，即在路由器上過濾假IP……只開放服務埠成為很多伺服器的流行做法，例如WWW伺服器那麼只開放80而將其他所有埠關閉或在防火牆上做阻止策略。

（ 5 ）檢查訪問者的來源

檢查攻擊來源，通常駭客會透過很多假IP地址發起攻擊，此時，使用者若能夠分辨出哪些是真IP哪些是假IP地址，然後瞭解這些IP來自哪些網段，再找網網管理員將這些機器關閉，從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話，可以採取臨時過濾的方法，將這些IP地址在伺服器或路由器上過濾掉，有助於提高防禦DDoS的效果。

找出攻擊者所經過的路由，把攻擊遮蔽掉。若駭客從某些埠發動攻擊，使用者可把這些埠遮蔽掉，以阻止入侵。不過此方法對於公司網路出口只有一個，而又遭受到來自外部的DDoS攻擊時不太奏效，畢竟將出口埠封閉後所有計算機都無法訪問internet了。

防禦DDoS攻擊的方案，可以根據自身需求進行部署，以保障網站安全。不僅僅是在應對DDoS攻擊，而且是對於所有網路的攻擊，都應該是採取儘可能周密的防禦措施，同時加強對系統的檢測，建立迅速有效的應對策略。使受到攻擊後能快速的排除並解決攻擊。

本文來自：https://www.zhuanqq.com/News/Industry/405.html