qq3250845

在当今互联网行业快速发展的情况下，各行业对防护DDoS的重视程度也在不断提高。作为一种有着“悠久历史”的攻击方式，DDoS伴随着互联网发展，给人们留下的只有噩梦和其“网络打手”的骂名。而受害者不仅是游戏公司，还有许多行业也深受其害。


   “游戏又上不去了”、“一直卡在登录界面”、“支付又卡顿了”……伴随着声声的抱怨，4月15日知名游戏公司美国艺电公司（EA）在社交媒体上公布，由于遭遇了DDoS攻击，旗下多款游戏无法登录。在紧急维护2个小时后，这家去年营收近50亿美元的游戏巨头才让服务器恢复正常。该公司遭受的，是游戏行业闻之色变、整个互联网领域臭名昭著的DDoS攻击。

      据统计，除游戏公司外，政府网站、企业服务网站，甚至金融公司，长期以来都是DDoS偏好的攻击目标。在没有防护DDoS攻击措施的情况下，遭受攻击时，网络游戏不能正常登录，网络支付卡顿甚至不能成交。如果攻击长年累月持续，会使用户体验下降，转而寻求其他供应商服务，这样就会影响网络游戏公司或者互联网服务提供商的直接利益。

      DDoS攻击，是最常见的网络攻击手法之一。全称为分布式拒绝服务（Distributed Denial of Service）攻击，攻击者通过操控不同区域的多台计算机对目标服务器发起攻击，目的是迫使对方网络或系统的资源耗尽，被迫暂停服务，导致正常用户无法访问。

     打个通俗的比方，服务器好比一家饭店，攻击者叫来50个人占据了所有的餐桌却不点餐，反而让服务员端茶递水，导致饭店无法正常营业。DDoS的攻击往往持续数日甚至数周之久，危害可想而知。

     据发布的《2019年DDoS威胁报告》显示，在2019年，DDoS攻击形势依旧严峻，直播、电商等新兴热门行业遭遇DDoS攻击占比也明显上升。攻击峰值方面，自2018年业界发现1.94 Tbps的峰值之后，DDoS攻击进入TB级已不是偶发事件。同时，海外攻击占比达到15%，相较于2018年的8%几乎翻倍。

      面对DDoS攻击，选择防护DDoS高防服务才是最正确的选择，当下市场上的主流的高防服务可分为两种：1.高防CDN是在CDN的基础上配备了防护DDoS功能。广泛分布的高防CDN节点加上节点之间的智能冗余机制，可以有效地预防黑客入侵以及降低各种DDoS攻击对网站的影响，同时保证较好的服务质量。2.高防IP主要是替身隐藏源站IP，将恶意攻击流量进行过滤清洗，然后通过端口协议转发的方式，将正常的访问请求转发到源站IP。以此来确保源站IP不受影响，可以正常稳定运行以及访问。


近年来，随着网络安全意识的不断增强，做好防护DDoS可以极大的减小损失。完全杜绝DDoS攻击不太可能实现，在目前情况下，攻击者发起攻击的成本，总是小于防御者抵御同级别攻击的成本。企业需要抵御凶猛的攻击，靠单独的某一类设备是不够的，尽可能做好多种防护方式才是正确的选择。

qq3250845

相比来说，肉鸡CC比代理CC防护更难，因为肉鸡能够模仿正常用户拜访网站的请求，形成合法的数据包。CC攻击又可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是黑客凭借代理服务器生成指向受害主机的合法网页恳求，完成DDoS和假装；而肉鸡CC攻击是黑客运用CC攻击软件，控制许多肉鸡，发起攻击。


CC攻击便是充分利用了这个特点，许多朋友问到，为什么要运用代理呢？由于代理能够有用地隐藏自己的身份，也能够绕开防火墙，由于基本防火墙都会检测并发的TCP/IP衔接数目，超越必定数目必定频率就会被认为是Connection-Flood。当然也能够运用肉鸡发起CC攻击，可将CC防护的难度提升一个层次，致使服务器CPU%100，乃至死机的现象。

CC攻击是DDoS攻击的一种，他们的原理都是相同的，即发送许多的请求数据来导致服务器拒绝服务，是一种衔接攻击。CC攻击的原理是攻击者控制某些主机不停地发许多数据包给对方服务器形成服务器资源耗尽，一直到宕机崩溃。

CC主要是用来攻击页面的，每个人都有这样的体会：当一个网页请求的人数特别多的时候，打开网页就慢了，CC便是模仿多个用户（多少线程便是多少用户）不停地进行请求那些需求许多数据操作的页面，形成服务器资源的浪费，CPU长时刻处于100%，永久都有处理不完的连接直至就网络拥塞，正常的请求被中断。

一个静态页面不需求服务器多少资源，乃至能够说直接从内存中读出来发给你就能够了，可是论坛之类的动态网站就不相同了，我看一个帖子，需要到数据库中判断我是否有读帖子的权限，如果有，就读出帖子里边的内容，显示出来。至少拜访了2次数据库，如果数据库的体积有200MB，体系很可能就要在这200MB的数据空间查找一遍，这需求多少的CPU资源和时刻？

关于CC防护的措施：CC防护可以使用多种办法，比如禁止网站代理访问、尽量将网站做成静态页面、约束衔接数量、修改最大超时时刻等。

另外借鉴已有的经验，还可以使用两方面的DDoS保护方法来缓解CC攻击：（1）启用基于浏览器的挑战：Web应用程序防火墙（WAF）可以使用基于挑战的算法来过滤出CC攻击机器人。基于全球公共云基础架构，可以通过Multi CDN利用该计算能力来根据攻击按比例自动调整CC防护。正是这种力量能够抵御每分钟CC攻击3亿次的请求。（2）地理位置限制：通过确保来自主要用户群的国家和地区的流量，并阻止来自已知的“攻击区域”的流量，来限制特定区域的传入流量。

CC不像DDOS可以用硬件防火墙来过滤攻击，硬件防火墙对他起不到很好的CC防护效果，因为CC攻击本身的请求就是正常的请求。如果你的站被瞄上了，最有效的解决方法就是更换域名，更换IP。虽说有效，但是一般没几个人会这么做。如果容易被CC攻击，建议提前安装软防。

qq3250845

...........

qq3250845

CC攻击对网站的运营是非常不利的，因此我们必须积极防范这种攻击，但有些网站在防范这种攻击时可能会陷入误区。CC是DDoS攻击的一种，CC攻击是借助代理服务器生成指向受害主机的合法请求，实现DDoS和伪装，是通过制造大量的后台数据库查询动作来攻击页面，消耗目标资源。

CC攻击的特点和流量型DDoS攻击最大的区别是并不需要大流量即可达到攻击效果。有些极端情况下在遭受此类攻击的时候，流量特征可能没有明显的变化，而业务层面出现访问缓慢、超时等现象，且大量访问请求可能指向同一个或少数几个页面。

因为CC攻击来的IP都是真实的、分散的，且CC攻击的请求，全都是有效的请求，无法拒绝的请求。对于此类攻击，DDoS攻击清洗设备的基础算法的作用可能就没那么明显了，需要在攻击过程中实时抓取攻击的特征，对症下药。

由于CC攻击是典型的应用层DDos攻击，因此传统安全设备，如防火墙、运营商清洗等很难起到很好的CC防护作用。目前业界通常会在应用服务器前端部署具备安全功能的代理设备进行防护，比如WAF、负载均衡等，避免让服务器直接面对CC攻击。代理设备启用资源代理和安全防护功能，比如要求在接收完整的HTTP请求之后才会与服务器建立TCP连接并发送已收到的HTTP 请求，此时攻击者的请求直接被代理设备终结而不会发往服务器。


1、服务器垂直扩展和水平扩容


资金允许的情况下，这是最简单的一种方法，本质上讲，这个方法并不是针对CC攻击的，而是提升服务本身处理并发的能力，但确实提升了CC防护的能力。


2、取消域名绑定


一般cc攻击都是针对网站的域名进行攻击，攻击者在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是取消这个域名的绑定，让CC攻击失去目标，达到。


3、部署高防CDN防御


防御CC攻击最简单便捷的方法就是通过接入高防CDN来隐藏服务器源IP，高防CDN可以自动识别恶意攻击流量，对这些虚假流量进行智能清洗，将正常访客流量回源到源服务器IP上，保障源服务器的正常稳定运行。


我们可以对CC攻击的攻击特征进行针对性CC防护配置，因为当发生了CC攻击的时候，抓包后可以很明显的发现大量的访问都集中在某几个或者多个页面。一般情况客户在访问业务的时候不会集中在几个页面，而是比较分散的。

qq3250845

为什么要使用DDoS高防IP：

1、DDOS 防御：基于先进特征识别算法进行精确清洗，帮助你抵御Syn Flood、ICMP Flood等各种DDOS大流量攻击。购买高防IP后，我们只需在DNS服务商处，将网站解析记录cname为高防IP分配的安全域名，将网站的流量引流至高防IP系统，即可开始享受高防服务。

2、CC 防御：通过防护通过模式识别、身份识别等多种手段，精确识别恶意访问者，采用重认证、验证码、访问控制等手段精准打击，帮助您抵御http get等各类应用层攻击。

3、 未使用高防之前：ECS 能防护的流量一般在 500M 左右，一旦攻击流量超过这个值，则ECS 被攻击的 IP 地址将进入黑洞，最长 24 小时无法访问，所以这种攻击会对企业的利益造成很大损失

4、使用高防之后：将流量牵引到专业的高可靠高性能机房，对恶意流量实时清洗，全面保护企业业务的稳定连续，再也不担心大流量攻击了

5、未使用 DDoS 防护包之前：企业有比较多的网站或者 IP 地址需要防护，如高防需要的价格比较高，而且需要修改 DNS 解析，修改原有的系统架构。


6、使用 DDoS 防护包之后：直接提升 ECS、SLB、WAF、EIP、NAT 的对外的 IP 地址的防御能力，最高到 100G。且不需要修改原有 IP 地址或者 DNS 解析配置。

7、源站隐藏：使用高防IP后，你可以将域名解析到高防IP后，由高防IP转发的您的真实IP地址，这样就达到隐藏真实IP 目标，使用源站隐藏功能后，您的网站源IP将不再暴露，攻击者将无法直接攻击您的网站服务器。

   没有购买高防IP的租户服务器，也会有一个高防IP，在遭受攻击导致流量出现异常的时候，首先会经过机房的硬件防火墙，牵引系统等会对流量进行识别，过滤恶意流量，以此保证正常流量对服务器的访问能得到正常的响应。

qq3250845

.....

qq3250845

随着互联网企业对网站安全的重视程度不断提高，部署专业的CC防护服务已经成为一种共识。CC攻击被称为“Web杀手”，这种攻击技术含量不是很高，利用工具和一些IP代理，一个初、中级的电脑水平的用户就能够实施DDoS攻击。

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了。这就说明做好CC防护是非常有必要的了，CC攻击主要是打服务器的端口，不断地去访问，造成CPU跑满，导致宕机。

CC防护没有做好会出现哪些情况？你中枪了吗？

网站被CC攻击分为以下几种情况：

1、如果是被小量CC攻击，则站点还是可以间歇性访问得到，但是一些比较大的文件，比如图片会出现显示不出来的现象。如果是动态网站被小量CC攻击，还会发现服务器的CPU占用率出现飙升的现象。这是最基本的CC攻击症状。

2、当网站是静态站点，比如html页面，在被CC攻击的情况下，打开任务管理器，看网络流量，会发现网络应用里数据的发送出现严重偏高的现象，在大量的CC攻击下，甚至会达到99%的网络占用，当然，在被CC攻击的情况下网站是没办法正常访问的，但是通过连接服务器还是可以正常连接。

3、当网站是动态网站，比如asp/asp.net/php等，在没有CC防护的情况下，IIS站点会出错提示SERVER IS TOO BUSY，如果不是使用IIS来提供网站服务，会发现提供网站服务的程序无缘无故自动崩溃、出错。如果排除了网站程序的问题，而出现这类型的情况，基本上可以断定是网站被CC攻击了。

如果被CC攻击会有那些危害？

引起服务器异常，网站或应用频繁打不开、无法访问、卡顿等，影响业务正常开展；导致客户流失，对于电子商务、线上业务及应用而言，若访问受限，将直接失去客户；造成经济损失，同行恶意竞争，被刷掉的高额短信费用，金融行业的敲诈勒索现象等；增加运维成本，需被迫提高服务器配置及带宽，甚至聘用专业运维人员处理攻击问题。

那么根据攻击的原理可以采取以下两步进行CC防护：先更换端口，封掉被攻击的端口，这样攻击暂时的就能被抵挡一下。IIS屏蔽IP，我们通过命令或在查看日志发现了CC攻击的源IP，就可以在IIS中设置屏蔽该IP对Web站点的访问，从而达到防范IIS攻击的目的。

CC防护没有做好会出现哪些情况？你中枪了吗？

在资金允许的条件下，部署CC防护最有效方式是采用高防服务。CC就是模拟多个用户不停地进行访问那些需要大量数据操作的页面，造成网络拥塞，服务器崩溃，正常的访问请求得不到回应。但因为技术含量不高，所以进行防护也不难，建议那些常被攻击的网站提前做好防护，避免不必要的损失。

qq3250845

服务器被攻击这个问题，自从互联网诞生以来，黑客就无处不在，有黑客就必然会产生各种攻击，永远不要觉得互联网那么大，攻击不会落在你的头上，那你就错了，攻击无处不在，一旦你的服务器被击溃，对业务产生的影响对自身企业经济造成的损失，可能远比你想的还要多得多。互联先锋小编今天就来和大家说说服务器安全防护干货，如何避免服务器被恶意攻击？

先来了解一下攻击有哪些，一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。恶意攻击行为包括ddos,cc攻击，恶意入侵主要是通过一些恶意的小程序发送虚假邮件或者窃取口令等。


究竟如何预防呢？

1、构建一套完善的服务器硬件安全防御系统

一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。

防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。

2、限制开放端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的ip连接登陆。任何时候，只要是生产服务器，投入使用之前必须限制开放端口。你需要开放什么服务，就只开放那个服务必要的端口。例如，对于一个web服务来讲只需要打开80/443两个端口。具体做法是，使用iptable命令来DROP掉除了必要端口外所有的INPUT的网络请求。

3、关注入口相关程序的漏洞

网络请求从连接到被执行，需要经过

硬件（固件）

操作系统

系统库（比如openssl）

程序库（比如jdk和依赖的各种jar）

你的程序

时刻留意这个链条上的漏洞信息（新闻/社交网站讨论等），尤其是你开放的端口的对应服务的漏洞（比如开了443要特别留意操作系统、openssl和nginx的漏洞）。大多数时候漏洞比较偏门，或者说只有学术研究价值，这种可以忽略。但如果发现有漏洞的讨论已经非常普遍，就说明这个漏洞的影响相当大，并且非常容易被利用，抓紧时间升级和修复。

4、定时安全扫描

有些时候运用电脑中的一些第三方软件也能有效的避免服务器被攻击，做定时的安全扫描也能发现一些常规的漏洞，现在软件扫描都用不了多长时间，定期扫描也是一种快捷有效的检查手段。


服务器被攻击可能无可难免，用户最重要的就是防范于未然，提前做好以上这些防护措施，降低服务器被攻击的概率，或者能够尽量减少损失。

qq3250845

.........................

qq3250845

DDOS的产生：最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。后来由于宽带的普及，很多网站开始盈利，其中很多非法网站利润巨大,造成同行之间互相攻击，还有一部分人利用网络攻击来敲诈钱财。同时windows 平台的漏洞大量的被公布， 流氓软件，病毒，木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDoS攻击从中谋利。攻击已经成为互联网上的一种最直接的竞争方式，而且收入非常高，利益的驱使下，攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的肉鸡，每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售，因为利益需要攻击的人就会购买，然后遥控这些肉鸡攻击服务器。

DDOS的主要几个攻击类型

SYN变种攻击

发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。TCP混乱数据包攻击

发送伪造源IP的

TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

针对用UDP协议的攻击

很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截，针对WEB Server的多连接攻击

通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封，针对WEB Server的变种攻击

通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护，后面给大家介绍防火墙的解决方案

针对WEB Server的变种攻击

通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M

所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案针对游戏服务器的攻击

因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。 以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp，udp协议，和针对应用层的协议,比如http,游戏协议，软件视频音频协议，现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的攻击。

SYN攻击解析

SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SEND状态，等待服务器确认；

第二次握手：服务器收到syn包，必须确认客户的SYN同时自己也发送一个SYN包 即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃,每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。

如何防止和减少DDoS攻击的危害

拒绝服务攻击的发展

从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS（DistributedDenial of Service，分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢？下面我们从两个方面进行介绍。

预防为主保证安全

DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。

（1）定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

（3）用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

（4）充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

（5）过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

（6）检查访问者的来源

使用Unicast

Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

（7）过滤所有RFC1918

IP地址

RFC1918

IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

（8）限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

寻找机会应对攻击

如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

（1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

（2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

（3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击（DDOS攻击）都瘫痪的情况呢？就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。