防止DDos攻击参照.pdfVIP

总结 ddos 攻击防范 教你如何防 ddos 攻击 （ ） 近年来，我国的 ddos 攻击事件频发发现，现在 ddos 攻击防范 / 防御 IDC 门户网 已经成为很多企业的重要课题之一了。本文将教大家如何 防 ddos 攻击 。首先我们需要了解 什么是 ddos 攻 击 ： ddos攻击是什么 ？ DDOS 全名是 Distributed Denial of service （分布式拒绝服务攻击） ，很多 DOS 攻击源一起攻击某台 服 务器 就组成了 DDOS 攻击， DDOS 最早可追溯到 1996 年最初，在中国 2002 年开始频繁出现， 2003 年已 经初具规模。 ddos攻击防范 / 防御： 对于预防及缓解这种带宽相关的 DoS 攻击并没有什么灵丹妙药。本质上，这是一种 “粗管子打败细管 子 ”的攻击。攻击者能 “指使 ”更多带宽， 有时甚至是巨大的带宽， 就能击溃带宽不够的网络。 在这种情况下， 预防和缓解应相辅相成。 有许多方法可以使攻击更难发生，或者在攻击发生时减小其影响，具体如下： 1、网络入口过滤 网络服务提供商应在他的下游网络上设置入口过滤，以防止假信息包进入网络（而把它们留在 Internet 上）。这将防止攻击者伪装 IP 地址，从而易于追踪。 2、网络流量过滤 过滤掉网络不需要的流量总是不会错的。这还能防止 DoS 攻击，但为了达到效果，这些过滤器应尽量 设置在网络上游。 3、网络流量速率限制 一些路由器有流量速率的最高限制。 这些限制条款将加强带宽策略，并允许一个给定类型的网络流量匹配有限的带宽。这一措施也能预先 缓解正在进行的攻击，同时，这些过滤器应尽量设置在网络上游（尽可能靠近攻击者） ； 4、入侵检测系统和主机监听工具 IDS 能警告网络管理员攻击的发生时间，以及攻击者使用的攻击工具，这将能协助阻止攻击。主机监 听工具能警告管理员系统中是否出现 DoS 工具 5、单点传送 RPF 这是 CEF 用于检查在接口收到的数据包的另一特性。如果源 IP 地址 CEF 表上不具有与指向接收数据 包时的接口一致的路由的话，路由器就会丢掉这个数据包。丢弃 RPF 的妙处在于，它阻止了所有伪装源 IP 地址的攻击。 针对 DDOS 预防措施 看了上面的实际案例我们也了解到，许多 DDoS 攻击都很难应对，因为搞破坏的主机所发出的请求都 是完全合法、符合标准的，只是数量太大。借助恰当的 ACL ，我们可以阻断 ICMP echo 请求。但是，如果 有自己的自治系统，就应该允许从因特网上 ping 你。不能 ping 通会使 ISP 或技术支持团队（如果有的话） 丧失某些故障排解能力。也可能碰到具有 Cisco TCP 截获功能的 SYN 洪流： Router （config ）#ip tcp intercept list 101 Router （config ）#ip tcp intercept max-incomplete high 3500 Router （config ）#ip tcp intercept max-incomplete low 3000 Router （config ）#ip tcp intercept one-minute high 2500 Router （config ）#ip tcp intercept one-minute lo