检查访问者来源
通过反向路由器查询的方法,检查访问者的IP地址是否是真,如果是假的,予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。可利用Unicast Reverse Path Forwarding减少假IP地址的出现,有助于提高网络安全性。
过滤不必要的服务和端口
可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。比如,CEF可以针对封包Source IP和Routing Table做比较,并加以过滤。只开放服务端口成为目前很多服务器的做法,如WWW服务器只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量,来限制SYN/ICMP封包所能占有的最高频宽,这样当出现大量超过限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍能够起到一定作用。
过滤RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0等,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
以上就是西部数码介绍的常见ddos防御方式,有效预防ddos可选择西部数码的高防服务,产品咨询或购买请点击西部数码ddos高防。
