抵御DDoS攻击三剑客

分布式拒绝服务攻击（DDoS：Distributed Denial of Service）是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的傀儡机器对某一台单机发起攻击，在带宽相对的情况下，被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式，分布式拒绝服务攻击（DDoS）主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。由于它利用一批受控制的机器向一台机器发起攻击，来势迅猛，而且往往令人难以防备，具有极大的破坏性。
对DDoS攻击来说并没有100％有效的防御手段。但是由于攻击者必须付出比防御者大得多的资源和努力才能实现有效的攻击，所以只要我们更好地了解DDoS攻击，积极部署防御措施，还是能在很大程度上缓解和抵御这类安全威胁的。另外，加强用户的安全防范意识，提高网络系统的安全性也是很重要的措施。
监控骨干网络设备，减少骨干网主机的漏洞
加强对骨干网络设备的监控，常用的方法包括限制连接队列的长度以及减少处理延时等。前者可以缓解系统资源的耗尽，虽然不能完全避免拒绝服务的发生，但是至少在一定程度上降低了系统崩溃的可能性，而后者能够加强系统的处理能力。通过减少延时，我们能以更快的速度抛弃队列里等待的连接，而不是任其堆满队列。不过这种方法也不是在所有的情况下都有效，因为很多DDoS的攻击机制并不是建立在类似SYN Flood这样以畸形连接淹没队列的方式之上的。
几乎所有的主机平台都有抵御DDoS的设置，基本的设置有四种：
1.关闭不必要的服务。确保从服务器相应的目录或文件数据库中删除未使用的服务，如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统——甚至是受防火墙保护的系统。确保运行在Unix主机上的所有服务都有TCP封装程序，限制对主机的访问权限。
2.限制同时打开的Syn半连接数目。
3.缩短Syn半连接的time out 时间。
4.及时更新系统补丁。确保所有服务器采用最新系统，并打上安全补丁，计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打上补丁。因此应当及早发现系统存在的攻击漏洞，及时安装系统补丁程序。
合理配置路由器及防火墙，实现IDS和防火墙的联动
企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是与外界的接口设备。需要注意的是防DDoS的设置是以牺牲效率为代价的。