[日常] 企业网络要如何预防DDOS攻击

我们作为企业的网络管理员，经常会遇到DDOS服务攻击，但其实DDOS有时什么呢?下面我将跟大家讲讲企业网络要如何预防DDOS攻击。DDOS是英文Distributed Denial of Service的缩写,意即"分布式拒绝服务",DDOS的中文名叫分布式拒绝服务攻击，俗称洪水攻击。

　　在DDOS攻击大行其道的今天，如果自身企业并没有遭到DDOS攻击也不要就放心下来。如何预防DDOS攻击是企业网络管理员应该思考的问题。对于面临拒绝服务攻击的目标或潜在目标，应该采取的重要措施：

企业网络要如何预防DDOS攻击

　　预防DDOS方法一：消除 FUD心态

　　FUD 的意思是 Fear(恐惧)、 Uncerntainty(猜测)和 Doubt(怀疑)。最近发生的攻击可能会使某些人因为害怕成为攻击目标而整天担心受怕。其实必须意识到可能会成为拒绝服务攻击目标的公司或主机只是极少数，而且多数是一些著名站点，如搜索引擎、门户站点、大型电子商务和证券公司、 IRC服务器和新闻杂志等。如果不属于这类站点，大可不必过于担心成为拒绝服务攻击的直接目标。

　　预防DDOS方法二：要求与 ISP协助和合作

　　获得你的主要互联网服务供应商( ISP)的协助和合作是非常重要的。分布式拒绝服务( DDoS)攻击主要是耗用带宽，单凭你自己管理网络是无法对付这些攻击的。与你的 ISP协商，确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时你的 ISP愿意监视或允许你访问他们的路由器。

　　预防DDOS方法三：优化路由和网络结构

  如果你管理的不仅仅是一台主机，而是网络，就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止 SYN flood攻击，应设置 TCP侦听功能。详细资料请参阅相关路由器技术文档。另外禁止网络不需要使用的 UDP和 ICMP包通过，尤其是不应该允许出站 ICMP“不可到达”消息。

　　预防DDOS方法四：优化对外开放访问的主机

　　对所有可能成为目标的主机都进行优化。禁止所有不必要的服务。另外多 IP主机也会增加攻击者的难度。建议在多台主机中使用多 IP地址技术，而这些主机的首页只会自动转向真正的 web服务器。