這篇文章主要介紹了ddos防御技術有哪些，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

站在用戶的角度思考問題，與客戶深入溝通，找到懷來網(wǎng)站設計與懷來網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設計與互聯(lián)網(wǎng)技術結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：成都網(wǎng)站建設、網(wǎng)站建設、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、域名注冊、虛擬主機、企業(yè)郵箱。業(yè)務覆蓋懷來地區(qū)。

ddos***簡單防御總結(jié)：

NUM.1  利用ios的經(jīng)典特性：ip tcp intercept

這個特性可以在網(wǎng)絡邊界路由器上開啟，它的原理是代替server完成三次握手。如果***者沒有完成三次握手，router將不會使其與服務器通信，正常用戶與router完成三次握手后，router也會偽裝成用戶和server進行三次握手，而后將正常回話交給服務器。

ip tcp intercept 有主動和被動兩種模式，默認主動模式，被動模式要求在XX秒內(nèi)建立完整鏈接，否則T掉！

NUM.2 攔截RFC1918

一般ddos***的地址都是偽造的私網(wǎng)地址，我們可以在路由器上啟用ACL攔截源為RFC1918的地址。

NUM.3 unicast RFC

當一個路由器的多個接口鏈接多個網(wǎng)段時可以配置unicast RFC ，使其每個接口只能接收源地址是本接口鏈接網(wǎng)段的數(shù)據(jù)包，丟棄不能夠通過ip源地址檢測的包。

NUM.4 配置IOS狀態(tài)監(jiān)控包過濾防火墻（1.CBAC技術 2.zoned-based技術）

一個很老的ios防火墻技術。cbac技術基于接口，先deny ip any any ，禁止互聯(lián)網(wǎng)對內(nèi)網(wǎng)的訪問，在全局下寫監(jiān)控策略，例如 ip inspect name CBAC telnet 就是對telnet的流量做監(jiān)控，之后將策略運用于接口的出或如方向。之后telnet就可以通了，用命令：“show ip inspect session”可以查看路由器上的狀態(tài)化信息表，狀態(tài)化信息表包括源目地址及端口號，今后的數(shù)據(jù)包通信優(yōu)先查看狀態(tài)化表項，如果狀態(tài)化表項有條目就可直接通信，不會詢問ACL。

cbac技術也有缺點，因為它是基于接口，所以會影響到DMZ的流量。解釋下，在入進口配cbac的時候不能區(qū)別到dmz和到內(nèi)網(wǎng)的流量，例如，不可能配置外網(wǎng)到DMZ監(jiān)控http，外網(wǎng)到內(nèi)網(wǎng)監(jiān)控telnet。

zoned-based技術zone是一系列接口的集合。

特點1：策略運用于zone間特定的流量，而不是接口。

特點2：可以配置基于特定主機和子網(wǎng)的策略。

特點3：默認策略deny所有zone間的流量。

特點4：提供非常非常強大的DPI（深度包監(jiān)控）功能。例如限制郵件的長度，url字段等，可以限制的非常細，比ASA還變態(tài)！

特點5：相對于cbac提供了更好的性能。

缺點是配置起來很費勁，zone越多越麻煩，因為每個zone都要和其他zone有策略，非常蛋疼。

以上都是通過ios特性來低于ios，有些不靠譜，特別是ip tcp intercept 技術，一兩千個包還能忙的過來，在成G成G的***流量下，router早就魂飛魄散拉~

經(jīng)過查閱發(fā)現(xiàn)，大型IT企業(yè)，銀行一般都用用guard + dectecor的方式來部署自己的清洗中心。

下面是全網(wǎng)ddos清洗中心部署方式：

這里我簡單總結(jié)了下流量牽引技術：

流量清洗中心利用IBGP或者EBGP協(xié)議

首先和城域網(wǎng)中用戶流量路徑上的多個核心設備直連或者非直連均可建立BGP Peer

1.當發(fā)生ddos***時，路由器鏡像口的ids就會發(fā)現(xiàn)***，之后通知告警給清洗中心（好多臺guard）

2.流量清洗中心通過BGP協(xié)議會向核心路由發(fā)布BGP更新路由通告更新核心路由上的路由表將流經(jīng)所有核心設備上的流量動態(tài)的牽引到流量清洗中心進行清洗

3.流量清洗中心發(fā)布的BGP路由添加no-advertise屬性（當一臺路由器,收到一個bgp的路由帶有no-export屬性是這臺路由器就不會再向EBGP對等體及IBGP對等體發(fā)送該路由）確保清洗中心發(fā)布的路由不會被擴散到城域網(wǎng)同時在流量清洗中心上通過路由策略不接收核心路由器發(fā)布的路由更新從而嚴格控制對其他網(wǎng)絡造成的影響當然，清洗完后正常的流量通過清洗中心流入目的服務器。

感謝你能夠認真閱讀完這篇文章，希望小編分享的“ddos防御技術有哪些”這篇文章對大家有幫助，同時也希望大家多多支持創(chuàng)新互聯(lián)，關注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關知識等著你來學習!

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

標題名稱：ddos防御技術有哪些-創(chuàng)新互聯(lián)
轉(zhuǎn)載來于：http://www.xueling.net.cn/article/ghdpd.html