网络管理教你防止黑客DDOS攻击

点评：DDoS攻击是一个控制机攻击机使用，如此激烈的攻击很难预防，因此具有较大的破坏性
如果网络管理员使用过滤IP地址的方法对Dos进行攻击，就不可能面对DDoS的伪造地址，因此防止DDoS攻击更加困难，以及如何采取有效措施来处理它呢这里我们从两个方面介绍。
第一，寻找对付攻击的机会
如果用户受到攻击，他所能做的抵抗将是非常有限的，因为大流量的灾难性攻击在没有准备好的时候被冲到用户身上，而且当用户没有恢复的时候，网络可能瘫痪了，但是，用户仍然可以抓住机会寻找一丝希望。
（1）检查攻击来源，通常黑客会攻击被许多虚假的IP地址，此时，如果用户能够分辨出哪些是真的假的IP地址IP是什么，然后了解IP的网络，然后找到网络管理员，这些机器将被关闭，从而消除第一次攻击。如果这些IP地址发现从外面而不是IP公司里面，临时过滤可以采用过滤这些IP地址在服务器或路由器。
（2）找出攻击者通过的路径，屏蔽攻击，如果黑客从某些端口发起攻击，用户可以屏蔽它们以防止入侵，但这种方法对公司网络出口不好，受到外部DDoS攻击。毕竟，出口港口都关闭了，所有的计算机都无法上网。
（3）最后一种比较折衷的方法是在路由器上过滤ICMP，虽然不能完全消除攻击过程中的入侵，但过滤ICMP可以在一定程度上有效地防止攻击规模升级，降低攻击级别。
二是预防是安全的主要保障
DDoS攻击是黑客最常见的攻击手段，下面列出了一些对付黑客攻击的常规方法。
（1）过滤所有RFC1918 IP地址
的RFC1918 IP地址是内网IP地址，比如10.0.0.0，192.168.0.0和172.16.0.0。它们不是某一段的固定IP地址，而是互联网预留的区域IP地址。这种方法不是过滤内部人员的访问，而是在攻击期间伪造大量伪造的内部IP过滤器，这也可以减少DDoS攻击。
（2）使用足够的机器抵御黑客攻击。
这是一种理想的应对策略，如果用户有足够的能力和足够的资源来攻击黑客，当它不停地访问用户并赢得用户资源时，其能量也逐渐丧失。也许黑客们一直都没能打到他们被打死，但是，这种方法需要投入更多的资金，通常大部分设备处于闲置状态，而中小企业网络的实际运营情况与目前的情况不符。
（3）充分利用网络设备保护网络资源
所谓的网络设备的负载均衡设备如路由器、防火墙等，可有效保护网络，当网络受到攻击时，第一个死的是路由器，但其他机器没有死。死路由器将重新启动后恢复正常，并启动非常快，没有任何损失如果其他服务器死了，数据会丢失，并重新启动服务器是一个漫长的过程。特别是，一个公司使用了负载均衡设备，这样当一个路由器被袭击了，死了，对方立即工作。它削减DDoS攻击以最大程度。
（4）在主干节点中配置防火墙
防火墙本身抵御DDoS攻击和其他一些攻击。当发现被攻击，该攻击可以针对一些牺牲的主机，它可以保护真正的主机免受攻击。当然，这些牺牲主机可以选择不重要的，或更少的漏洞，如Linux和Unix系统，和这是对优秀的攻击与生俱来的。
（5）过滤不必要的服务和端口
你可以使用inexpress、快递、货运和其他工具来过滤不必要的服务和端口，即过滤虚假IP路由器上。例如，思科的CEF（Cisco Express Forwarding）可以比较的数据包的源IP地址和路由表，过滤它。开放服务端口已成为一种流行的多为实践服务。例如，www服务器只打开80，并关闭防火墙上的所有其他端口或阻塞策略。
（6）限制SYN／ICMP通信量
用户应该配置路由器上的最大SYN／ICMP流量来限制SYN／ICMP包所能占用的最大带宽，以便当大量SYN／ICMP流量超过极限时，这不是正常的网络访问，而是一种黑客入侵，早期限制SYN／ICMP流量是防止DoS攻击的最佳方法。虽然这种方法对DDoS不是很有效，但它仍然起着一定的作用。
（7）正常扫描
对现有的网络主节点进行定期扫描，检查可能出现的安全漏洞，及时清除新漏洞，骨干节点计算机因其高带宽而成为黑客使用的最佳场所。因此，提高主机安全性对主机的安全性至关重要，而网络主节点都是服务器级计算机，因此定期对漏洞进行扫描就显得尤为重要。
（8）检查访问者的来源。
在反向路由器查询时，使用单播反向路径转发检查访问者的IP地址是否为真或假。很多黑客攻击都使用虚假的IP地址来迷惑用户，很难找到它的来源，因此，使用单播反向路径转发可以减少虚假IP地址的发生，有助于提高网络安全性。