如何有效的防止DDOS攻击

有效的防止DDOS攻击的方法：

1、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。

2、尽量避免NAT的使用 

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间。

3、充足的网络带宽保证 

网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的ddos攻击，当前至少要选择100M的共享带宽。

扩展资料

DDOS攻击方式

1、SYN Flood攻击

SYN Flood攻击是当前网络上最为常见的DDoS攻击，它利用了TCP协议实现上的一个缺陷。通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。

2、UDP Flood攻击

UDP Flood是日渐猖厥的流量型DDoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的服务，在UDP Flood攻击中，攻击者可发送大量伪造源IP地址的小UDP包。

3、ICMP Flood攻击

ICMP Flood攻击属于流量型的攻击方式，是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文。因此ICMP Flood出现的频度较低。

4、Connection Flood攻击

Connection Flood是典型的利用小流量冲击大带宽网络服务的攻击方式，这种攻击的原理是利用真实的IP地址向服务器发起大量的连接。并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的链接。

什么是DDOS流量攻击？我们大多数人第一眼看到这个DDOS就觉得是英文的，有点难度，毕竟是国外的，其实简单通俗来讲，DDOS攻击是利用带宽的流量来攻击服务器以及网站。

举个例子，服务器目前带宽是100M，突然从外边来了200M的带宽流量进来，那么服务器根本承载不了这个200M的带宽流量，服务器的网络瞬间就会瘫痪，导致服务器无法连接，甚至导致服务器里的网站都无法打开，因为200M的带宽流量，已经占满了整个服务器的100M带宽。

再举一个更贴切于生活的例子：一家饭店，正常情况下最多能承载100个人吃饭，因为同行竞争，对面饭店老板雇佣了200个社会小混混去饭店吃饭，导致饭店满客，无法再接纳正常的客人来饭店吃饭了。这就是DDOS攻击，利用流量去占满服务器的带宽，导致没有多余的带宽来提供用户的网站访问。

DDOS流量攻击分很多种，有UDP-flood流量攻击，TCP-flood流量攻击，ICMP-flood流量攻击TCP/UPD/ICMP分片式流量攻击，SYN-flood流量攻击，ACK-flood流量攻击，zeroWindow攻击，SSL-flood攻击，SSLkeyrenego攻击，DNS反射性放大流量攻击，NTS反射，NTP反射,SNMP反射，SSDP反射，Chargen反射。

UDP-flood是属于UDP协议中的一种流量攻击，攻击特征是伪造大量的真实IP并发送小数量的数据包对要攻击的服务器进行发送，只要服务器开启UDP的端口就会受到流量攻击。如何防御这种流量攻击，对UDP的包数据大小进行设置，严格把控发送的数据包大小，超过一定值的数据包进行丢弃，再一个防御的方法是只有建立了TCP链接的IP，才能发送UDP包，否则直接屏蔽该IP。

ICMP是利用ICMP协议对服务器进行PING的攻击，放大icmp的长度，以及数据包的字节对服务器进行攻击。TCP-flood攻击是一种使用tcp三次握手协议的一种方式来进行的攻击，攻击特种是伪造大量的真实IP去连接要攻击的服务器，导致服务器无法承载更多的TCP连接而导致服务器瘫痪。

SYN-Flood是利用SYN协议，客户端协议上发送SYN数据，服务器接收到并响应SYN以及ACK反映，攻击者利用这个方式去模拟大量的客户连接发送数据包，导致服务器瘫痪。

ACK-Flood的攻击跟上面这个SYN的攻击差不多，都是同样采用发送数据包到服务器端去，攻击者利用ACK数据包进行攻击，只要服务器接受ACK的包，那么就会造成ACK连接过多导致服务器资源耗尽，服务器没有多余的资源来接收ACK的包，服务器就无法打开了。

SSL-Flood是利用客户端不断的与SSL通道握手，SSL的资源比普通的用户访问>

反射放大性流量攻击

反射性的攻击，不管是DNS反射还是NTP反射，都是使用的UDP协议攻击，UDP协议里访问用户发送请求的数据包到服务器，服务器再反馈给用户端，那么用户端发送到服务器里的请求数据包里，用户的IP可以进行伪造，可以伪造成服务器的IP，服务器IP发送数据包到服务器IP里，这样就造成了反射攻击。

DNS反射攻击也是一样的道理，利用DNS服务器的解析进行攻击，伪造要攻击的服务器IP，进行DNS查询，并查询到DNS服务器里，DNS服务器返回数据包到要攻击的服务器IP中去，一来一去形成了反射流量攻击。 源自网页链接