如何防范拒絕服務攻擊

★★★★★【文章導讀】：如何防范拒絕服務攻擊具體內容是：1、如何發現攻擊在服務器上可以通過CPU使用率和內存利用率簡單有效的查看服務器當前負載情況，如果發現服務器突然超負載運作，性能突然降低，這就有可能是受攻擊的征兆。不過也可能是正常訪問網站人數增加的原因。如…

來源：日期：2013-12-24 21:09:48 人氣：標簽：

1、如何發現攻擊

在服務器上可以通過CPU使用率和內存利用率簡單有效的查看服務器當前負載情況，如果發現服務器突然超負載運作，性能突然降低，這就有可能是受攻擊的征兆。不過也可能是正常訪問網站人數增加的原因。如何區分這兩種情況呢？按照下面兩個原則即可確定受到了攻擊。

(1）網站的數據流量突然超出平常的十幾倍甚至上百倍，而且同時到達網站的數據包分別來自大量不同的IP。

(2）大量到達的數據包(包括TCP包和UDP包)并不是網站服務連接的一部分，往往指向你機器任意的端口。比如你的網站是Web服務器，而數據包卻發向你的FTP端口或其它任意的端口。

2、BAN IP地址法

確定自己受到攻擊后就可以使用簡單的屏蔽IP的方法將DOS攻擊化解。對于DOS攻擊來說這種方法非常有效，因為DOS往往來自少量IP地址，而且這些IP地址都是虛構的偽裝的。在服務器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩，需要我們對IP地址分析，將真正攻擊的IP地址屏蔽。

不論是對付DOS還是DDOS都需要我們在服務器上安裝相應的防火墻，然后根據防火墻的日志分析來訪者的IP，發現訪問量大的異常IP段就可以添加相應的規則到防火墻中實施過濾了。

當然直接在服務器上過濾會耗費服務器的一定系統資源，所以目前比較有效的方法是在服務器上通過防火墻日志定位非法IP段，然后將過濾條目添加到路由器上。例如我們發現進行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0，而服務器的地址為61.153.5.1。那么可以登錄公司核心路由器添加如下語句的訪問控制列表進行過濾。

cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0

這樣就實現了將211.153.0.0 255.255.0.0的非法IP過濾的目的。
小提示：在訪問控制列表中表示子網掩碼需要使用反向掩碼，也就是說0.0.255.255表示子網掩碼為255.255.0.0。