分布式拒绝服务攻击与防范手段

　　首先，检查攻击来源，通常黑客会通过很多假的IP地址发起攻击，此时，用户若能够分辨出哪些是真IP地址，哪些是假IP地址，然后了解这些IP来自哪些网段，再找网段管理员把机器关掉，即可消除攻击。

　　其次，找出攻击者所经过的路由，把攻击屏蔽掉。比如黑客发射SNP包，用户可把此包过滤掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以狙击入侵。

　　最后一种比较折衷的方法是在路由器上滤掉ICMP（Internet Control Message Protocol）和UDP。ICMP用于提交错误和改变控制信息，常用来判断网络的连通性。

　　五、如何事先预防攻击

　　其实，很多攻击方法并不新，存在时间也很长了（就像DoS），基本上人们对它们已经有所了解，只是当它被有恶意的人利用，破坏网络安全，人们才意识到问题的严重性。因此，人们应充分重视建立完善的安全系统，防患于未然。在具体工作中，我们不妨从以下一些方面预防黑客攻击。

　　1．用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿。

　　2．充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当Yahoo！被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程，相信没有路由器这道屏障，Yahoo！会受到无法估量的重创。

　　3．使用Inexpress、Express Forwarding过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以针对封包 Source IP 和 Routing Table 做比较，并加以过滤。