参考答案
DDoS 攻击防御方法:
1. 过滤不必要的服务和端口
可以使用 Inexpress、Express、Forwarding 等工具来过滤不必要的服务和端口,即在路由器上过滤假 IP 。比如 Cisco 公司的CEF(Cisco Express Forwarding) ,可以针对封包 Source IP 和 Routing Table 做比较,并加以过滤。
只开放服务端口成为目前很多服务器的流行做法。
例如:
WWW 服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
2. 异常流量的清洗过滤
通过 DDOS 硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。
单台负载每秒可防御800-927万个syn攻击包。
3. 分布式集群防御
这是目前网络安全界防御大规模 DDOS 攻击的最有效办法。
分布式集群防御的特点是在每个节点服务器配置多个IP地址(负载均衡),并且每个节点能承受不低于10G的DDOS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
4. 高防智能 DNS 解析
高智能DNS解析系统与DDOS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能。
它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将 DNS 解析请求解析到用户所属网络的服务器。同时智能 DNS 解析系统还有宕机检测功能,随时可将瘫痪的服务器 IP 智能更换成正常服务器 IP,为企业的网络保持一个永不宕机的服务状态。
以上,是网络安全面试题【如何防御 DOS & DDOS 攻击】的参考答案。
输出,是最好的学习方法。
欢迎在评论区留下你的问题、笔记或知识点补充~
—end—
