行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
ddos防御方法有哪些,怎么才能做好DDOS防御
2020-09-12 18:49:11 【

在互联网高度发展的今天,互联网公司正面临着十分激烈的市场竞争,不仅要承担比金子还贵的流量费用,还要面对来自技术、产品、品牌、营销,和人才等多方面的竞争压力,公司要在市场中突围而出变得愈发艰难。


因此,一旦做成一个网站或APP项目,互联网公司无不将其视为珍宝,十分珍惜。但木秀于林,风必摧之。脱颖而出自然会受到高度关注,其中不乏黑产和竞争对手的目光。为了有利可图,黑产有可能对你公司的网站或者APP发起DDoS攻击,向你勒索赎金,从中牟利;竞争对手为了保持竞争优势,有可能向你发起恶意DDoS攻击,企图将你打垮,吞噬你的市场份额,那么怎么做好DDOS防御呢?


一、DDoS 常见攻击类型:


ICMP 泛洪:该攻击通过向目标 IP 发送大量 ICMP 包,占用带宽,从而导致合法报文无法达到目的地,达到攻击目的。


Smurf 攻击:攻击者先使用受害主机的地址,向一个广播地址发送 ICMP 回响请求,在此广播网络上,潜在的计算机会做出响应,大量响应将发送到受害主机,此攻击后果同 ICMP 泛洪,但比之更为隐秘。


SYN 泛洪:蓄意侵入 tcp 三次握手并打开大量的 TCP/IP 连接而进行的攻击,该攻击利用 IP 欺骗,向受害者的系统发送看起来合法的 SYN 请求,而事实上该源地址不存在或当时不在线,因而回应的 ACK 消息无法到达目的,而受害者的系统被大量的这种半开连接充满,资源耗尽,而合法的连接无法被响应。



UDP 泛洪:该攻击通过向目标 IP 发送大量 UDP 包,占用带宽,消耗资源。


Fraggle 攻击:该攻击是 smurf 的变种,针对防火墙对 ICMP 包检查比较严格的前提下,不再向广播地址发 ICMP 请求包,而是改为发送 UDP 包。


Small-packet 攻击:IP 小报文攻击是发送大量的小报文到被攻击系统来消耗系统的资源。


bad mac intercept:目的 MAC 地址等于源 MAC 地址的报文攻击。


bad ip equal:目的 IP 地址等于源 IP 地址的报文攻击。


二、防御方法:


确保服务器的系统文件是最新的版本,并及时更新系统补丁。


关闭不必要的服务。


限制同时打开的 SYN 半连接数目。


缩短 SYN 半连接的 time out 时间。


正确设置防火墙 禁止对主机的非开放服务的访问 限制特定 IP 地址的访问 启用防火墙的防 DDoS 的属性 严格限制对外开放的服务器的向外访问 运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。


认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。


限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。


使用 unicast reverse-path 访问控制列表(ACL)过滤, 设置 SYN 数据包流量速率,升级版本过低的 ISO 为路由器建立 log server 能够了解 DDoS 攻击的原理,对我们防御的措施在加以改进,我们就可以挡住一部分的 DDoS 攻击。




】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇如何判断网站服务器是否被ddos攻.. 下一篇网络CC攻击防御难?防御吧帮你搞定

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800