通过Internet 进行交流的电脑一般都可以被分为两类:客户端及服务端。这两个角色可以随着环境转换(例如一个网页服务器可能会是一个邮件服务器的客户端),不过大部分的TCP 连接都意味着一个客户端和服务端的关系。客户端一般会从一个高数位的端口发起连接到服务端上处于监听状态的底数位端口上。
因为任何反射的SYN/ACK 数据包必须要弹到一个TCP 服务器上,并且因为几乎所有的服务端口都在1 到1023 这个范围之内,阻拦所有在服务端口范围之内入站的数据包会防止大部分的攻击造成的阻塞。不过这样做又产生一些问题:
如果只是简单的拦截所有从1024 以下端口发送的数据的话,那么像当一个在blanket filter 后的服务器作为客户端的话,它将无法和其它服务器进行交流。等等
真正的解决办法还是要从基础的配置做起,到目前为止,通过利用防火墙来阻挡那些序列号不对的数据包恐怕是最好的方法了。
没有任何方法是能够100%防止DDOS攻击的,攻击者如果攻击网站,那他的资源要比网站大很多才有这样的能力,只要积极防御,还是可以缓解、抵御这些攻击。1、采用DDOS防火墙,市场上有傲盾、金盾、冰盾。
2、提高网站带宽和服务器性能。
3、看哪个IP占的连接数多,就把这IP禁止。
因为国内带宽的出口越来越大,DDOS攻击所需要的攻击流量越来越便宜,攻击规模也越来越大,之前了解过是50-60左右1G,现在一般服务器都有30G以上的防御,所以单单攻击一次的成本可能上千
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)