有哪些技术可以防御有效DDoS攻击呢

 

         DDoS限制连接数

         目前市场上的安全产品，包括防火墙，主要采用有限服务器主机连接手段防御DDOS攻击，如关冲剑一般，入侵防御，DDOS防御等产品，看似笨拙简单，其实是战术的基础。

         使用安全产品保护到主机限制连接的数量，即，每秒的访问的数目，以确保保护在网络层中的主体不超过（不含CC攻击）的处理负荷，虽然用户访问间歇，但可以保证受保护的主机总是有能力处理数据包。

         DDoS可以得到有效降低傀儡机的攻击效果，而使用网络安全技术产品进行限制客户端发起的连接数，即发起同样企业规模的攻击则需要学生更多的傀儡机。

         UDP Flood防御DDoS技术

         不像TCP UDP协议是无连接协议状态和UDP应用协议改变，变化很大，这是非常困难的UDP防洪。一般最简单的方法主要就是不对外改革开放UDP服务。

         可以根据DDoS服务的UDP最大包长度来设置UDP最大包大小，以便在必须打开UDP服务时过滤异常流量。另一种方式是建立一个UDP连接规则要求发往该端口的所有UDP数据包，您必须首先建立一个TCP连接到TCP端口才可以使用UDP通信。

         Syn Flood防御技术

         syn cookie/syn proxy类防护工程技术，这种信息技术对所有的syn包均主动进行回应，如果该IP地址数据真实社会存在，DDoS探测系统发起syn包的源IP地址以及是否可以真实情况存在，则该IP会回应防护设施设备的探测包，从而通过建立TCP连接。大多数使用这种技术的国内，国际抗DDOS产品。

         Safereset技术，此技术对所有的syn包均主动进行回应，真实情况存在的IP地址会发送rst包给个人防护系统设备，DDoS探测包特意设计构造一个错误的字段，然后通过发起第2次连接，从而可以建立TCP连接，国外一些产品采用这种保护算法。

         同步重传技术，该DDoS技术利用TCP/IP协议的重传特性。 来自源IP的第一个syn数据包在到达时被丢弃并记录，在第二个syn数据包到达时被验证，然后释放。

         CC防御技术

         要统计数据到达我们每个企业服务器的每秒钟的GET请求数，对是否HTTP Get的判断，如果已经远远不能超过一个正常值，就要对HTTP协议进行解码，找出HTTP Get及其相关DDoS参数（例如URL等）。

         DDoS确定是否GET请求从代理服务器或一个恶意的请求和响应来与一个请求，引发反馈的请求相应的密钥响应。如果发起端不响应则说明是利用网络工具可以发起的请求，这样HTTP Get请求就无法及时到达一个服务器，达到安全防护DDoS的效果。

版权声明：本文为Yun88网的原创文章，转载请附上原文出处链接及本声明。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！