如何预防dd攻击服务器

预防1125462849

当前资源耗攻击主要有二种类型：

1、无连接攻击：

这种攻击方法主要利用IP、TCP、ICMP等协议的漏洞，在无连接情况下或者连接建立过程中完成攻击。主要是通过向受害主机发送大量伪造源IP和源端口的SYN、ACK、UDP、 ICMP包等，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的,故追踪起来比较困难。对于SYN Flood攻击，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态。

2、TCP全连接攻击：

当主机突然收到比平时多得多的“合法”连接请求时，基本可以判定是这种类型。由于攻击采用的方式几乎无法与真正的合法流量区分，使得这种攻击很难自动防御。但是这种攻击会暴露傀儡机的IP地址，从而相对容易跟踪。然而DDoS攻击的追踪不仅是要找到傀儡机，还要找到隐藏在傀儡机背后的黑客主机。好的DDoS攻击工具可以伪造黑客主机的IP地址，使得对黑客主机的追踪要比对傀儡机的追踪困难的多。TCP全连接攻击的另一个缺点是需要控制大量的傀儡机来模拟合法的连接。

防御ddos攻击

统计分析。即通过统计分析来得到攻击包的指纹，然后根据指纹来抛弃攻击包。思路很简单，关键是要保证合法的流量被误检和非法流量被漏检的概率足够低。这也是很多研究者研究的主要课题，目的就是识别攻击包。识别攻击报所需要的信息可能包括：流量速率大小、包大小和端口的分布、包到达时间的分布、并发流量数、高级协议特征、出入的速率、流量分类(源IP 源端口、目的端口、协议类型、连接量)、高层层协议分析：比如针对http的攻击。所有模式识别中的分类方法以及优化方法，比如人工神经网络等等都可以应用于统计和分析。不过，这种方法的实施难度较大，一个鲁棒的，自动更新识别函数的统计分析系统构造起来相当不容易。

3，预防不住的咨询我扣1125462849