服務(wù)器安全ddos如何防護？

ddos怎么防？作為目前企業(yè)單位遭遇較多的一種網(wǎng)絡(luò )攻擊，DDOS的目的很簡(jiǎn)單，就是使計算機或網(wǎng)絡(luò )無(wú)法提供正常的服務(wù)。面對ddos時(shí)，我們有哪些方法可用于防護。

限制服務(wù)器連接數

目前，市場(chǎng)上的安全產(chǎn)品，包括防火墻、入侵防御、ddos防御等產(chǎn)品主要采用限制服務(wù)器主機連接數，防御DDOS攻擊，為招數之基本。

使用安全產(chǎn)品限制受保護主機的連接數，即每秒訪(fǎng)問(wèn)數量，可以確保受保護主機在網(wǎng)絡(luò )層處理上不超過(guò)負荷(不含CC攻擊)，雖然用戶(hù)訪(fǎng)問(wèn)時(shí)斷時(shí)續，但可以保證受保護主機始終有能力處理數據報文。而使用安全產(chǎn)品限制客戶(hù)端發(fā)起的連接數，可以有效降低傀儡機的攻擊效果，即發(fā)起同樣規模的攻擊則需要更多的傀儡機。

攻擊防御溯本追源

針對CC攻擊防御的溯本追源技術(shù)，是通過(guò)對服務(wù)器訪(fǎng)問(wèn)流量的實(shí)時(shí)監測，可以發(fā)現其在一定范圍內波動(dòng)，此時(shí)設置服務(wù)器低壓閥值，當服務(wù)器訪(fǎng)問(wèn)流量高于低壓閥值時(shí)開(kāi)始記錄并跟蹤訪(fǎng)問(wèn)源。

此外，還要設置一個(gè)服務(wù)器高壓閥值，此高壓閥值代表服務(wù)器能夠承受的最大負荷，當監測到服務(wù)器訪(fǎng)問(wèn)流量達到或超過(guò)高壓閥值時(shí)，說(shuō)明有DDOS攻擊發(fā)生，需要實(shí)時(shí)阻斷攻擊流量，此時(shí)系統將逐一查找受攻擊服務(wù)器的攻擊源列表，檢查每個(gè)攻擊源的訪(fǎng)問(wèn)流量，將突發(fā)大流量的源IP地址判斷為正在進(jìn)行的攻擊源，將這些攻擊源流量及其連接實(shí)時(shí)阻斷。

Syn Flood防御技術(shù)

syn cookie/syn proxy類(lèi)防護技術(shù)：這種技術(shù)對所有的syn包均主動(dòng)回應，探測發(fā)起syn包的源IP地址是否真實(shí)存在，如果該IP地址真實(shí)存在，則該IP會(huì )回應防護設備的探測包，從而建立TCP連接。大多數的國內外抗DDOS產(chǎn)品均采用此類(lèi)技術(shù)。

Safereset技術(shù)：此技術(shù)對所有的syn包均主動(dòng)回應，探測包特意構造錯誤的字段，真實(shí)存在的IP地址會(huì )發(fā)送rst包給防護設備，然后發(fā)起第2次連接，從而建立TCP連接。部分國外產(chǎn)品采用了這樣的防護算法。

syn重傳技術(shù)：該技術(shù)利用了TCP/IP協(xié)議的重傳特性，來(lái)自某個(gè)源IP的第一個(gè)syn包到達時(shí)被直接丟棄并記錄狀態(tài)，在該源IP的第2個(gè)syn包到達時(shí)進(jìn)行驗證，然后放行。