目录介绍：

• 1、如何有效抵御僵尸网络DDoS攻击
• 2、防止黑客攻击的方法有哪些？
• 3、如何抵御网络ddos攻击？
• 4、如何预防和抵制黑客入侵

如何有效抵御僵尸网络DDoS攻击

许多黑客专门破坏或窃取数据，还有不少黑客总是愿意破坏对数据的合法访问。后者这种对信息可用性的攻击被称为DoS攻击，这种攻击与窃取信息一样都会给企业带来不可估量的损失。 高级DoS攻击利用受控计算机组成的大型网络（称为僵尸网络），同时从多个不同的地理位置来攻击一个网站。这种攻击称为分布式拒绝服务攻击（DDoS攻击）。这种攻击更阴险，因为我们很难将其通信与正常的网络通信区分开来。DDoS基础 在一个网络接收的数据超过了它的处理能力时，可能就发生了DDoS攻击。执行一次成功的攻击所要求的通信速率依赖于网络的带宽，以及保护设备的能力。其结果总是相同的，机器的互联网连接陷于完全停顿。用户们无法做任何操作，这就像下班高峰时的交通拥塞一样。 并非所有的DDoS攻击都针对网站。有进取心的黑客还会针对其它的基础组件，如企业的DNS控制器等。笔者的一位客户就曾遭受过DNS扩大攻击，攻击者将带有受害者IP地址的DNS请求作为一个虚假的源发动攻击。由于DNS响应可以比请求更强大，被欺骗的IP会收到大量的响应。该客户在高峰时段每隔一段时间就会收到大量的攻击，这严重地影响了该客户继续进行业务的能力。 虽然你企业的网络没有充足的资源来防御DDoS攻击，但你可以寻求ISP的帮助。你可以设置网络过滤器，为攻击网络的通信改变路线。在使用这种方法时要小心，因为ISP的首要责任是向所有的客户提供服务，而不仅仅是某个用户。基本防御 其次，禁止任何未用的服务，目的是将开放端口的数量最小化，从而减少攻击者进入和利用已知漏洞的机会。 第三，为所有的软件打上补丁，保持所有软件的最新有助于漏洞数量的最少化。 第四，不要太依赖防火墙。防火墙只能阻止来自某些端口的洪水攻击，但它却无法防止基于Web的通信进入。 此外，如果禁用了IP广播，就可以阻止基于ICMP的攻击，如死亡之ping攻击。 这些仅是从大体上保护网络，抵御一般DDoS攻击的方法，对于一些高级DDoS攻击，这些措施远远不够。说到专门的DDoS防御，企业不妨使用IP包过滤技术。 包过滤 描述过滤这种技术还是很容易的：判断进入的数据包，看其是来自合法用户，还是来自攻击机器，若来自后者，则丢弃。但实际上实施这种方案并非易事。 企业往往建立能够阻止非法通信的过滤器。但这种做法的困难在于，如何将攻击包与合法请求区分开来，而且因为攻击的目的是摧毁正在扫描通信的设备，数据包的数目如此多，从而造成保护网络的设备无法应对。建议采用阻止假冒IP包的技术，如基于路由器的过滤，它可以跟踪进入通信的源地址，一旦发现异常，就认为是欺诈而丢弃。事实上，很容易阻止欺诈，如今的高级攻击不再使用这种伎俩。现在阻止假冒通信仅是一种简单技术。 抵制僵尸网络的攻击 但新威胁却更为危险：在受感染的计算机作为僵尸网络的一部分而协同动作时，数据包的源地址就不再是假冒的了，而是真实的IP地址。 针对僵尸攻击，有一种更科学的IP过滤方法。这种技术试图先记住曾经访问过网站的善意数据包，然后找出恶意数据包，仅准许来自已知源的数据包进入。此时，边缘路由器参照常用访问者的IP地址数据库，如果在通信源中找不到匹配的IP，就丢弃包。 这种过滤还有一个问题：如果攻击者知道了基于历史的过滤，为了使僵尸计算机的IP地址合法化，僵尸控制系统很容易在真实攻击发生之前将僵尸计算机指引到目标网站。这会欺骗过滤系统，使其信任更多的DDoS包，因为攻击来自熟悉的地址。 虚拟路由器和安全设备 除过滤之外，新的DDoS防御技术还可以使用虚拟路由器和基于设备的系统，以此作为接收通信的基本方式，并应用清洁技术来过滤通信。这种自动化的系统将来势必成为对付DDoS攻击的重要防御工具，因为可以对基于云和基于虚拟化的系统进行调整，以满足海量的通信要求。 根除DDoS之路漫漫而修远，因为互联网上有太多不安全的机器正在被僵尸化。虽然目前对付DDoS攻击的防御已经很强大，但其针对性往往太强，而DDoS攻击采取的是群起而攻之的战术。因而，防御必须依靠综合治理、协同努力。DDoS是IT管理者时刻需要关注的严重威胁。其它方法 还有其它两种技术可用来保护公司网络。首先，可以增加网络带宽，使其可以简单地接收小型DDoS攻击的通信。其次，准备第二个网络连接，你可以将它作为灾难恢复计划的一部分，在遭受攻击期间，仍可以维持互联网访问。 DDoS攻击正在不断演化，变得日益强大、隐密，更具针对性且更复杂，它已成为从事电子商务公司的重大威胁。真正有效地对付这种攻击是一个系统工程，它需要全方位地综合治理、协同努力，如从法律、技术（不限于IT）、ISP、公司、个人用户等角度，多管齐下。特别是加强对个人用户、雇员的教育，养成良好的上网习惯，防止其成为僵尸网络的帮凶。

防止黑客攻击的方法有哪些？

从技术上对付黑客攻击，主要采用下列方法：

使用防火墙技术，建立网络安全屏障。使用防火墙系统来防止外部网络对内部网络的未授权访问，作为网络软件的补充，共同建立网络信息系统的对外安全屏障。目前全球联入Internet的电脑中约有1／3是处于防火墙保护之下，主要目的就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。

使用安全扫描工具发现黑客。经常使用“网威”等安全检测、扫描工具作为加强内部网络与系统的安全防护性能和抗破坏能力的主要扫描工具，用于发现安全漏洞及薄弱环节。当网络或系统被黑客攻击时，可用该软件及时发现黑客入侵的迹象，进行处理。

使用有效的监控手段抓住入侵者。经常使用“网威”等监控工具对网络和系统的运行情况进行实时监控，用于发现黑客或入侵者的不良企图及越权使用，及时进行相关处理（如跟踪分析、反攻击等），防范于未然。

时常备份系统，若被攻击可及时修复。这一个安全环节与系统管理员的实际工作关系密切，所以系统管理员要定期地备份文件系统，以便在非常情况下（如系统瘫痪或受到黑客的攻击破坏时）能及时修复系统，将损失减少到最低。

加强防范意识，防止攻击。加强管理员和系统用户的安全防范意识，可大大提高网络、系统的安全性能，更有效地防止黑客的攻击破坏。

用身份验证法识别用户“身份验证”统指能够正确识别用户的各种方法，是为阻止非法用户的破坏所设，它一般具有如下几个特点：

可信性：信息的来源可信，即信息接收者能够确认所获得的信息不是由冒充者发出的；完整性：信息在传输过程中保持完整性，即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换；不可抵赖性：要求信息的发送方不能否认自己所发出的信息。同样，信息的接收方不能否认已收到了信息；访问控制：拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。

口令是当前最常用的身份认证方法。但是，众所周知，不少用户选择的口令水平太低，可以被有经验的黑客猜测出来。我们经常把口令认证叫做“知道即可”的认证方法，因为口令一旦被别人“知道”就丧失了其安全性。现在，很多公司开始转向一种名为“拿到方可”的认证方法，在这种认证方法中，用户进行身份认证时，必须使用令牌或IC卡之类的物理设备。令牌是一种小型设备，只有IC卡或计算器那么大，可以随身携带。

这类产品经常使用一种“挑战一应答”（Challenge-Response）技术。当用户试图建立网络连接时，网络上的认证服务器会发出挑战信息，用户把挑战信息键入到令牌设备后，令牌设备显示合适的应答信息，再由用户发送给认证服务器。很多令牌设备还要求用户键入PIN。IC卡认证与令牌认证比较相似，只不过前者需要使用IC卡读取器来处理挑战信息。

如何抵御网络ddos攻击？

1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。

3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。

解决方法：    1、采用高性能的网络设备首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。     2、充足的网络带宽保证     网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。     3、高防CDN专业抗DDOS高防产品

目前国内抗DoS/DDoS比较知名的，同时信誉度和使用效果也比较好的应该是高防cdn产品，使用多种算法识别攻击和正常流量，可以抵御多种拒绝服务攻击及其变种 可防各类DoS/DDoS击，如 SYN Flood、TCP Flood，UDP Flood，ICMP Flood及其各种变种如Land，Teardrop，Smurf，Ping of Death等。

如何预防和抵制黑客入侵

可以通过隐藏IP地址来防止黑客攻击。

隐藏IP方法：

使用代理服务器相对于直接连接到Internet可以保护IP地址，从而确保上网的安全。代理服务器其实就是在电脑和要连的服务器之间架设的一个“中转站”，向网络服务器等发出请求数据之后，代理服务器首先会先截取这个请求，然后将请求转交给远程服务器，从而实现和网络的连接。很明显使用代理服务器后，只能检测到代理服务器的IP地址而不是用户所在地IP地址，这就实现了隐藏IP地址的目的，有效的保护了上网的安全。

黑客攻击手段：

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。