ddos攻擊憑借其低成本高危害的“特點”，已經成為黑客慣用的攻擊手段了。為了防禦ddos攻擊，很多網站都使出了九牛二虎之力，但是收效甚微，對此，很多人認為，對ddos攻擊來說，沒有絕對有效的防禦手段。這種說法是不是正确不得而知，網站應該做的，不是等待确定有效的方式，而是更清楚的了解ddos攻擊，積極部署防禦措施，努力提高自身網站安全性。如果并比清楚如何部署，可以按照以下方式來。

一：監控骨幹網絡設備，減少骨幹網主機的漏洞

加強對骨幹網絡設備的監控，常用的方法包括限制連接隊列的長度以及減少處理延時等。前者可以緩解系統資源的耗盡，雖然不能完全避免拒絕服務的發生，但是至少在一定程度上降低了系統崩潰的可能性，而後者能夠加強系統的處理能力。通過減少延時，我們能以更快的速度抛棄隊列裡等待的連接，而不是任其堆滿隊列。

主機平台四種抵禦DDoS的設置。一是關閉不必要的服務；二是限制同時打開的Syn半連接數目；三是縮短Syn半連接的time out 時間；四是及時更新系統補丁。确保所有服務器采用最新系統，并打上安全補丁。

二：合理配置路由器及防火牆，實現IDS和防火牆的聯動

企業網的網絡設備可以從防火牆與路由器上考慮。這兩個設備是與外界的接口設備。需要注意的是防DDoS的設置是以犧牲效率為代價的。現在有很多防火牆産品集成了反DDoS功能，進一步提高了對常見DDoS攻擊包的識别能力。這樣的産品可以在很大程度上增強DDoS防禦能力，并且可以做到不對數據包進行完全檢查就可以發現“惡意行為”。這是非常有用的功能，因為如果判斷DDoS攻擊所耗費的處理越少，就越不容易被耗盡處理能力，從而極大地增加攻擊者的成本。包括很多路由器産品在内的網絡設備都具備一些防火牆功能，我們應該盡可能充分利用。

另外，實現IDS和防火牆的聯動也是有效抵禦DDoS攻擊的有效手段。

三：加強網絡管理，建立合理的應對策略

1.确保自己了解TCP/IP地址、主機、路由器及其他網絡設備，還應該包括網絡邊界、非軍事區（DMZ）及網絡的内部保密部分。

2.經常檢查系統的物理環境，禁止不必要的網絡服務。建立邊界安全界限，确保輸出的包受到正确限制。經常檢測系統配置信息，并注意查看每天的安全日志，檢查所有網絡設備和主機/服務器系統的日志。

3.與網絡服務提供商協調工作，讓網絡服務提供商幫助實現路由的訪問控制和對帶寬總量的限制。

4.一旦發現被攻擊，立即啟動應急措施，并立刻追蹤攻擊包，及時聯系ISP和有關應急組織，分析受影響的系統，确定涉及的其他節點。

5.不僅針對關鍵主機，要對所有主機進行檢查。這是為了确保管理員知道每個主機系統在運行什麼？誰在使用主機？哪些人可以訪問主機？不然，即使黑客侵犯了系統，也很難查明。

6.建立和完善備份機制。對一些特權賬号的密碼設置要謹慎。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!