租用普通的香港服务器如何预防DDOS攻击

租用高防服务器的用户相对来说，比较容易抵御ddos攻击，因为有机房防御，服务器自卫，技术护航。普通的香港服务器租用者也不必气馁。面对可能出现的DDOS攻击，做好预防工作也是很容易应对的。那么，租用普通的香港服务器要做哪些预防工作呢？　

（1）定期扫描主骨干节点

定期扫描已有的网络主节点，发现可能存在的安全漏洞，及时排除新的安全漏洞。由于主干节点的计算机具有较高的带宽，是黑客利用的最佳场所，因此加强这些服务器本身的主机安全就显得尤为重要。并且所有与网络主节点连接的都是服务器级的计算机，因此定期进行漏洞扫描显得尤为重要。

（2）主骨干节点配置防火墙

防火墙本身可以抵御DdoS攻击和其他攻击。当发现攻击时，可以将攻击指向一些牺牲主机，这样可以保护真实主机不受攻击。当然，这些牺牲主机可以选择不重要的，或者像linux、unix这样的系统，这些系统几乎没有漏洞，对攻击有很好的自然防御。

（3）足够的机器应对黑客攻击

这是一种理想的应对策略。如果一个用户有足够的能力和资源让黑客攻击，那么他在不断访问用户、抢占用户资源的同时，自己的能量也会逐渐消耗掉。也许在用户被攻击致死之前，黑客已经无能为力了。但是这种方式需要投入大量资金，而且平时设备大多闲置，与目前中小企业网的实际运行情况不符。

（4）利用网络设备保护网络资源

我们所说的网络设备是指能够有效地保护网络安全的路由器、防火墙等负载均衡设备。路由器首先在网络受到攻击时死亡，但是其他机器并未死亡。重新启动后，死路由将恢复正常，并且重新启动的速度仍然很快，没有任何损失。如果另一个服务器死亡，数据将丢失，而重新启动服务器将是一个漫长的过程。尤其是有一家公司使用负载平衡装置，这样当一台路由器受到攻击而死亡时，另一台就会立即工作。这样就最大限度地减少了 DdoS攻击。　　

（5）过滤不必要的服务和端口　　

对不需要的服务和端口进行过滤，也就是在路由器上过滤假 IP…只打开服务端口，是当前许多服务器普遍采用的做法，比如 WWW服务器只打开80个端口，而关闭其他所有端口或者在防火墙上执行阻止策略。　　

（6）检查访问者的来源　　

通过反向路由器查询的方法，例如 Unicast Reverse Path Forwarding，可以检查访问者的 IP地址是否正确，如果正确，就会被屏蔽。很多黑客攻击都是用假的 IP地址来迷惑用户，很难找出它是从哪里来的。所以使用 Unicast发布路径可以减少假 IP地址的出现，从而帮助提高网络安全。　　

（7）过滤所有RFC1918 IP地址　　

RFC1918 IP地址是内部网的 IP地址，比如10.0.0.0、192.168.0.0和172.16.0.0，这些 IP地址并非某个网段的固定 IP地址，而是保留在 Internet内部的区域性 IP地址，应当对其进行过滤。这种方法并没有过滤内部员工的访问，而是在攻击过程中大量使用了伪造的内部 IP过滤，这也降低了 DdoS的攻击。

（8）限制SYN/ICMP流量　　

在路由器上，用户应该配置 SYN/ICMP的最大流量，以限制 SYN/ICMP封包所能拥有的最高频率范围，以便当大量 SYN/ICMP流量超出限定范围时，表明并非正常网络访问，而是黑客入侵。尽早限制 SYN/ICMP流量是防止 DdoS的最好方法，尽管目前这种方法对 DdoS的效果不太明显，但仍能发挥一定作用。