ddos防御方法有哪些，最简单的ddos攻击教程

网页被DDOS攻击怎么办？

什么是DDOS？

DDOS全名是 Distributed Denial of service ( 分布式拒绝服务), 很多 DOS攻击源一起攻击某台服务器就组成了 DDOS攻击， DDOS最早可追溯到 1996 年最初，在中国 2002 年开始频繁出现，2003 年已经初具规模。有 DDOS攻击是通过使网络过载来干扰甚至阻断正常的网络通讯。 通过向服务器提交大量请求， 使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。

一旦网站被 DDOS攻击后主机上有大量等待的 TCP连接，网络中充斥着大量的无用的数据包，源地址为假，制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯， 利用受害主机提供的服务或传输协议上的缺陷， 反复高速的发出特定的服务请求， 使受害主机无法及时处理所有正常请求； 严重时会造成系统死机。

DdoS 攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果 说以前网络管理员对抗 Dos可以采取过滤 IP 地址方法的话， 那么面对当前 DdoS众多伪造出来的地址则显得没有办法。所以说防范网站被 DdoS攻击就变得更加困难了。

如何采取措施有效的应对呢？

下面我们从预防着个方面进行介绍。

（1）定期扫描

要预防网站被 DDOS攻击就要定期扫描现有的网络主节点，清查可能存在的安全漏洞， 对新出现的漏洞及时进行清理。 而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御网站被 DDOS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机， 这样可以保护真正的主机不被攻击。 当然导向的这些牺牲主机 可以选择不重要的， 或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统

（3）用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，网站被 DDOS攻击已无力支招儿了。

（4）充分利用网络设备保护网络资源

死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设 备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了网站被 DDOS攻击。

（5）过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假 IP ，只开放服务端口成为目前很多服务器的流行做法，服务器最好就开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

（6）检查访问者的来源

使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现，有助于提高网络安全性。

（7）限制 SYN/ICMP流量

用户应在路由器上配置 SYN/ICMP的最大流量来限制 SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的 SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制 SYN/ICMP流量是最好的防范网站被DDOS攻击，虽然目前该方法对于网站被 DDOS攻击效果不太明显了， 不过仍然能够起到一定的作用。

对于网站被 DDOS攻击后是一个非常麻烦的问题，所以必须在网站被 DDOS攻击之前就做好相关的防护措施， 不要造成不必要的损失， 所有的黑客的入侵都不是一件容易解决的事情，特别是对于网站被 DDOS攻击这种相当麻烦的事情，我们只有在它来临之前做好充分的防护措施。