抗ddos攻击解决方案在防御DDoS攻击方面有没有厂商给出相应的解决方案？

抗DDoS攻击方案有哪些？

由于DDoS攻击具有隐蔽性，因此到目前为止我们还没有发现对DDoS攻击行之有效的解决方法。

所以我们要加强安全防范意识，提高网络系统的安全性。

可采取的安全防御措施有以下几种： 1、及早发现系统存在的攻击漏洞，及时安装系统补丁程序。

对一些重要的信息(例如系统配置信息)建立和完善备份机制。

对一些特权帐号(例如管理员帐号)的密码设置要谨慎。

通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

2、在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。

建立边界安全界限，确保输出的包受到正确限制。

经常检测系统配置信息，并注意查看每天的安全日志。

3、利用网络安全设备(例如：防火墙)来加固网络的安全性，配置好它们的安全规则，过滤掉所有的可能的伪造数据包。

4、比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。

5、当你发现自己正在遭受DDoS攻击时，你应当启动您的应付策略，尽可能快的追踪攻击包，并且要及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡从已知攻击节点的流量。

6、当你是潜在的DDoS攻击受害者，你发现你的计算机被攻击者用做主控端和代理端时，你不能因为你的系统暂时没有受到损害而掉以轻心，攻击者已发现你系统的漏洞，这对你的系统是一个很大的威胁。

所以一旦发现系统中存在DDoS攻击的工具软件要及时把它清除，以免留下后患。

在防御DDoS攻击方面有没有厂商给出相应的解决方案？

F5公司是业界领先的L4/L7交换机厂商，在不断完善对各类服务器应用的负载均衡的同时，也逐步在内核中引入安全防御的概念，并且通过F5特有的开放系统（提供i-Controller 构架下的API/SDK开发标准），联合业界著名的操作系统厂商、防火墙厂商、防病毒厂商、IDS/IPS厂商 、应用服务软件厂商，构筑起围绕服务器为核心的动态攻击防御系统。

当大数据流DoS/DDoS攻击进入的时候，服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃，甚至导致数据丢失或客户资料遗失。

而采用F5的BIG-IP保护服务器，通过EAV/ECV精确探测服务器的处理能力，从而在服务器处理能力饱和之前自动屏蔽新建链接。

超过服务器吞吐能力的链接将在F5上处于waiting状态，直至有服务器空闲或TCP timeout。

与此同时，为进一步防止服务器遭受攻击过载，F5利用“iControl”技术可以帮助服务器通知网络，“此时忙，暂停服务”，然后，网络将停止再向它转发客户请求，而将客户请求继续转发至其它服务器，继续对客户应用请求提供服务。

并且，服务器会同时通知3DNS，这个中心可用服务器数量减少一台，应相应减少对这个中心的客户服务请求量。

当这台服务器完成所有数据记录的备份后，服务器又会通知BIGIP和3DNS，此时它已恢复正常，可以提供服务。

这时，系统又恢复原有的正常状态。

对于DoS/DDoS攻击，F5对于常用的几种攻击手段，从内核级就予以屏蔽，具体实施如下： 1．Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

F5 的策略： F5 采用特有的SYN proxy功能，所有与虚拟服务器建立HTTP SYN的请求均由F5代替服务器响应，F5并不将SYN请求发送到服务器。

只有当用于响应了F5的ACK，并真正发送HTTP GET请求时，F5才与服务器建立链接并发送HTTP GET请求。

所以普通的Synflood只会和F5通讯，无法攻击到服务器。

而F5 能够轻松支持高达2,000,000个会话的吞吐能力，能够应付绝大多数攻击。

而如果攻击数量超过F5的能力，F5 的Reaper功能将自动启动保护系统自身. 2．Ping of Death 根据TCP/IP的规范，一个包的长度最大为65536字节。

尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。

当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

F5 的策略： 在F5上可以将虚拟服务器的ARP屏蔽，ICMP包系统根本不响应。

其次，虚拟服务器的ICMP响应是由F5的管理进程提供响应，当管理进程繁忙时，系统会自动降低虚拟服务器的ICMP响应的优先级甚至不响应，而管理进程与服务器负载均衡是两个完全不同的进程，在F5上其内存和CPU使用时间是严格分离的，所以Ping of Death丝毫不会影响服务器负载均衡，也就是不会影响真正对外的服务响应端口。

3．IP欺骗DoS攻击 这种攻击利用RST位来实现。

假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。

服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。

这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。

攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。

F5 的策略： F5特有的SYN proxy功能，将TCP的SYN/ACK/SYN ACK三段握手作为判断合法用户的依据，同时所有的SYN/ACK/SYN ACK均不通服务器链接，只有当用户发送HTTP GET请求时再与选定的服务器建立链接，所以RST只是拆除与F5建立额链接，并不影响合法用户访问服务器。

4．带宽DoS攻击 如果黑客的连接带宽足够大而服务器又不是很大，黑客可以通过发送大量请求，来消耗服务器的缓冲区消耗服务器的带宽。

这种攻击就是人多力量大了，配合上SYN一起实施DoS，威力巨大。

F5 的策略： 这种攻击发生时，从站点的路由器、交换机、防火墙到服务器的带宽均有可能被占满。

所以如果发生该种攻击，首要的任务是通过EAV/ECV保护服务器不要溢出或崩溃。

其次，采用F5的i-Control技术配合IDS、防火墙、交换机、服务器、路由器形成整个系统的联动来予以抵御攻击. BIG-IP采用动态安全控制架构（DSCA）来实施、加强和加速应用和Web服务的安全交付。

它是第一款能够自动对不断变化的安全威胁做出响应、采取措施并加强防范的安全解决方案，筑起了一道协调统一的安全防线，同时还提高了网络中其它安全产品的性能。

在基于F5 开放式平台iContol之上，结合F5在业界诸多地合作伙伴，使用F5的API/SDK开发工具，就可以实现L4/L7交换机与入侵检测IDS的互动。

由IDS实时检测攻击，当发现有黑客攻击行为时，IDS通过调用iControl的API/SDK动态调整F5上的iRules策略，使得系统能够屏蔽攻击数据的同时还能让合法用户访问服务器。