分布式拒绝服务攻击与防范手段

　　4．使用Unicast Reverse Path Forwarding检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处，因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

　　5．过滤所有RFC1918 IP地址。RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。

　　6．限制SYN/ICMP流量。用户应在路由器上配置SYN/ICMP的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。

　　六、几点忠告

　　DDoS给著名网站带来巨大灾难的同时，也给人们再次敲响了警钟，作为网络用户，特别是负责网络安全的管理员、决策者，应该怎样维护好网络安全呢？

　　1．一个企业必须有专人负责其网络安全，至少有一个人全权进行系统安全维护，他应该对企业网络中的所有机器进行检查，以减少漏洞。

　　2．作为专门负责网络安全的管理员，必须对攻击方法了如指掌，换句话说，他要了解黑客是怎么工作的，只有这样，他才能保护好自己的机器。甚至负责人可在局域网中模仿黑客，“入侵”自己的系统，以发现网络漏洞，及时补漏。

　　3．网络安全管理员应该尽职尽责，仔细认真。在已发生的黑客攻击中，相当一部分事件是因为管理员工作疏忽造成的。

　　4．严格控制密码，提高密码保险性。在网络中，有些密码设置得较易被破获，因此应尽量减少知道密码的人数，分别给不同的人设定不同的使用权限。

　　5．选择一款优秀的防黑安全产品。即配备监测工具，不断提高对系统的认识。无论是从网上下载公开源代码的监测工具，还是购买网络监测工具，都要实时监测别人是否在扫描自己的端口。若有人扫描端口，意味着有人可能要攻击此网络。