黑客技术：墨者教你应对DDoS攻击的绝招

作为一个网络管理员或多或少都遇到过网络攻击而导致服务器瘫痪，就目前的网络攻击而言，最让人担心和害怕的估计就是DDoS攻击了。DDoS攻击的可怕之处是它模拟海量真实访客去访问服务器而导致服务器瘫痪，别人想要攻击你时无法避开，只能被动的去防御，这样来势迅猛的攻击令人难以防备，而且具有较大的破坏性，所以说防范DdoS攻击变得更加困难。那作为一个网络管理员，该如何采取有效的应对之策呢?下面墨者就来教你几个应对DDoS攻击的绝招。

1、定期扫描

作为一个合格的网络管理员，要定期对现有的网络节点进行必要的扫描，检查系统可能存在的漏洞并及时处理。黑客发起攻击最有可能针对那些连接网络主节点的计算机，所以对于这些主机更应该加强安全防护，比如配置防火墙。

2、加强自身服务器硬件和带宽

黑客攻击也是需要资源成本的，如果你的自身服务器硬件和带宽足够大，黑客就也只能放弃攻击了。不过这需要企业投入大量资金，尤其是现在网络攻击成本这么低的情况下，加强自身服务器硬件和带宽成本太高，中小型企业可能无法承受。
 

3、过滤不必要的服务和端口 

这也是用的比较有效的方法之一，利用Forwarding、Express、Inexpress等工具可以过滤掉那些不必要的服务和端口，在路由器上过滤假IP或在防火墙上做阻止策略。
 

4、检查访问者的来源 

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。 

5、限制SYN/ICMP流量

通过在路由器上配置SYN/ICMP的最大流量上限可以起到一定的作用，这个方法在以前针对DDOS攻击非常有效，不过随着黑客技术的发展，此方法效果不是很好了，但还是可以起到一定的防护作用。
 

6、过滤所有RFC1918IP地址 

RFC1918IP地址是Internet内部保留的区域性IP地址，DDOS攻击经常会伪造大量的虚假内部IP进行攻击，把这些过滤掉可以减轻DDOS攻击。

目前针对DDOS攻击还没有什么一劳永逸的应对方法，主要靠平时维护和扫描来对抗。如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的，简单的通过软件防范的效果非常不明显，当攻击者流量不是特别大时，按照上面墨者安全教的几个方法可以起到一定的防护作用。但是如果遭到DDOS洪水攻击时，这些方法也是无济于事的，大流量DDOS攻击还是需要专业的安全厂商来处理，就拿墨者安全来说，有着1000G以上的T级防御，目前而国内最大的攻击流量最多也就几百G，面对这些DDOS攻击可以轻松应对。