DDOS攻击疯狂危害大 谈谈如何防御攻击

9月23日消息，魅族官方微博在23日凌晨2点43发布声明称，昨晚19点16分-17点27分魅族官网遭到混淆型DDOS攻击。并在官方说明中强调，本次遭受DDOS攻击持续时间11分钟，瞬时并发流量达到了7G/s，由于攻击量过大，导致魅族官网40分钟访问困难。经过近7小时的排查，由于攻击的隐蔽性，依然无法锁定攻击来源。不过，目前魅族官网已恢复正常。

DDoS全名是Distributed Denial of Service，即分布式拒绝服务攻击。它是将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击(DoS攻击即为导致服务器拒绝服务的攻击方式)，用来堵塞被攻击者上网带宽或者消耗服务器资源的方法，令服务器拒绝响应正常的服务请求，从而使网站无法正常访问。

DDOS攻击对于服务器和网站危害大，会对公司造成相当大的损失，有调查分析显示，一个单个的DDoS攻击将对企业造成至少40万美元的伤害，有38%的DDoS攻击的受害者无力保护其核心业务免遭攻击。攻击带来这么大的损害，那我们应如何防范DDoS攻击，保护网站和服务器安全，最大限度的减轻攻击带来的危害呢?

如何防范DDoS攻击

定期扫描

定期扫描现有的网络主节点，服务器和网站，清查可能存在的安全漏洞，对新出现的漏洞及时进行修复和清理。

关闭服务器不必要的服务和端口

过滤不必要的服务和端口，当需要时在打开。例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。并限制同时打开的SYN半连接数目，以及缩短SYN半连接的time out时间。

对访问服务器的IP地址和人员进行限制

禁止对主机的非开放服务的访问，限制特定IP地址的访问。启用防火墙的安全策略（服务器安全狗提供安全策略功能），严格限制对外开放的服务器的向外访问，运行端口映射，程序端口扫描程序，要认真检查特权端口和非特权端口。

查看系统日志

认真检查网络设备和主机/服务器系统的日志，日志上可以看出很多的问题。只要日志出现漏洞或是时间变更，说明这台机器就有可能遭到了攻击。

用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

配置防火墙

防火墙本身能抵御Ddos攻击和其他一些攻击。在发现受到攻击的时候，可以保护主机免受攻击危害。防火墙有硬件防火墙和软件防火墙之分，如果是大流量的攻击，建议软硬相结合。软件防火墙，现在市面上有许多免费的软件可供选择，安全狗应该是属于较早的一批，技术上也比较稳定，防护功能比较完善，很多的朋友在使用后都觉得不错。

入侵过滤

入侵过滤(Ingress filtering)是一种简单而且所有网络都应该实施的安全策略。在网络边缘(比如每个与外网直接相连的路由器)，应该建立一个路由声明，将所有数据来源IP标记为本网地址的数据包丢弃。虽然这种方式并不能防止DDoS攻击，但是却可以预防DDoS反射攻击。

如果发现主机正在遭受攻击该如何应对呢？首先检查下攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。安全狗服云可以对攻击行为进行溯源，攻击IP地址、来源一目了然。

其次，找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DDOS攻击时不太奏效，如果你将出口端口封闭，或导致所有计算机都无法访问网络。

最后还有一种比较折中的方法是在路由器上滤掉ICMP。

以上就是分享的一些DDOS攻击防范方法，仅供大家参考使用。攻击防范我们一起努力，在实践中寻找到最合适的防范方式，抵御攻击。（安全狗网络整理）