分布式拒绝服务攻击,这种攻击目前只能硬防,所谓硬防也就是服务器集群、负载均衡等。通过软件来实现在个人PC上防范DDOS攻击效果是很不理想。
适当减轻受害PC的解决方案:
1:过滤不必要的服务和端口
可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。
2:检查访问者的来源
用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
3:如果是局域网应过滤所有RFC1918 IP地址
将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
4:限制SYN/ICMP流量
在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,能够起到一定的作用。
