常见ddos防御方式

常见方式有哪些?目前，网络安全界对于DdoS的防范主要靠平时的维护和扫描，提前预防来对抗，防患于未然是比较好的办法。

检查访问者来源

通过反向路由器查询的方法，检查访问者的IP地址是否是真，如果是假的，予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。可利用Unicast Reverse Path Forwarding减少假IP地址的出现，有助于提高网络安全性。

过滤不必要的服务和端口

可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如，CEF可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多主机的做法，如WWW主机只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量，来限制SYN/ICMP封包所能占有的最高频宽，这样当出现大量超过限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍能够起到一定作用。

过滤RFC1918 IP地址

RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.166.6.0.0 和172.16.0.0等，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

以上就是介绍的常见ddos防御方式，有效预防ddos可选择的高防服务，产品咨询或购买请点击。

提示：现在腾讯云新人点击注册然后实名认证后，可以点此一键领取2860元代金券，然后点此进入腾讯云活动页面参加优惠力度非常大的腾讯云3年和5年时长服务器活动，一次性买多年，免得续费贵，这样就可以获得最大的优惠折扣，省钱。